Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Aplikacje mobilne zagrożeniem dla naszych haseł?
Aplikacja dla systemu Apple iOS pozwalająca na korzystanie z bardzo popularnego serwisu mirkoblogowego tumblr przesyłała hasła użytkowników w jawnej postaci. W taki oto prosty i nieoczekiwany sposób możemy utracić kontrolę nad naszymi poświadczeniami.
Jak się okazało w wyniku przypadkowych testów, aplikacja tumblra na system Apple iOS uwierzytelniając użytkownika nie korzystała z szyfrowanego połączenia. Administracja opublikowała już ostrzeżenie oraz odpowiednie aktualizacje aplikacji:
We have just released a very important security update for our iPhone and iPad apps addressing an issue that allowed passwords to be compromised in certain circumstances. Please download the update now.
Poświadczenia podróżujące w postaci jawnej nie trudno podsłuchać
źródło: theregister.co.uk
Pamiętajmy więc zawsze, że korzystając z niezaufanych sieci (np. publicznego WiFi) jesteśmy zawsze narażeni na podsłuch, a poczucie bezpieczeństwa związane z domyślnym korzystaniem z szyfrowanych połączeń może być złudne.
Dokładnie. Ostatnio też robiłem przypadkowy test w jakiejś sieci i gdzieś mi się rzuciły w oczy nieszyfrowane login i hasło do Facebooka. Okazało się, że to komunikator Miranda. I w rzeczy samej, jak sobie spojrzymy na
http://wiki.miranda-im.org/Facebook_Chat
widać w Hintsach:
4. Don’t use SSL or TLS.
Paweł,
W przypadku opisanym powyżej użytkownicy korzystali jednak z oficjalnej aplikacji przygotowanej przez bardzo znany serwis. Kto mógł się więc spodziewać, że w takim wypadku hasła będą przesyłane w postaci jawnej? Oczywiście wniosek z tego taki, że jeśli czegoś sami nie zweryfikujemy, to lepiej założyć, że nie jesteśmy bezpieczni.
Masz rację. Natomiast Miranda (i inne third-party) też ma swój udział w rynku, a dorzucając do tego popularność fb i jego chata, nie zdziwiłbym się, gdyby w kilkunastu tysiącach liczeni użytkownicy nie powinni spać spokojnie z powodu podejścia typu ,,nie działa coś ssl/tls — wyłączmy i będzie działać”.