Pplware

Internet Explorer do Windows Phone tem falha de segurança

Os browsers sempre foram o campo de eleição para a exploração de falhas e de bugs por parte de todos os que se dedicam a estas tarefas.

É frequente o surgimento de novos problemas e novos buracos de segurança, com diferentes graus de severidade e de impacto, sempre afectando os utilizadores.

O mais recente surgiu agora no Internet Explorer do Windows Phone e, apesar de ser difícil de explorar, pode dar acesso a muita informação sensível do utilizador.

A falha aparentemente está presente nas versões móveis do Internet Explorer há já bastante tempo e sempre esteve disponível para ser explorada.

É um problema simples de explorar, mas necessita que o atacante tenha acesso físico ao equipamento, altura em que poderá facilmente ter acesso às passwords que estiverem armazenadas no browser.

Esta situação foi apontada por um utilizador do Reddit, que numa “inocente” questão colocada fez ver que é extremamente fácil aceder a uma password guardada nesta versão do IE.

Em concreto é simples a qualquer um aceder a uma página, onde esteja presente uma password memorizada e seleccioná-la para depois realizar uma simples pesquisa, recorrendo ao botão presente para esse fim.

Ao usar essa pesquisa o IE e o Bing, ou a Cortana, vão pesquisar a password que estiver guardada, mostrando-a ao utilizador e dando assim acesso a um elemento que deveria estar protegido.

O IE não permite que sejam realizadas cópias de passwords dos campos presentes nas páginas, mas com este simples truque passa a ser possível ter acesso às passwords, de forma ainda mais simples.

Esta falha foi de imediato reportada à Microsoft que respondeu que ao exigir um acesso físico ao equipamento deixa de ser uma falha de segurança e que a mesma não será corrigida.

É curioso notar que vários utilizadores testaram esta quebra de segurança no Windows 10 para dispositivos móveis e a mesma não está presente.

Mesmo não sendo uma falha grave e que requeira condições muito especiais para ser explorada, não deixa de representar um problema de segurança.

Muitos vão argumentar que ao ter o dispositivo acessível o atacante pode simplesmente entrar no serviço e alterar a password a seu gosto, mas é importante lembrar em muitas vezes emprestamos os nossos dispositivos por momentos e para serem realizadas algumas acções simples, podendo nessa altura serem obtidas as passwords gravadas.

Exit mobile version