Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Aplikacje mobilne zagrożeniem dla naszych haseł?

17 lipca 2013, 13:23 | W biegu | komentarze 3

Aplikacja dla systemu Apple iOS pozwalająca na korzystanie z bardzo popularnego serwisu mirkoblogowego tumblr przesyłała hasła użytkowników w jawnej postaci. W taki oto prosty i nieoczekiwany sposób możemy utracić kontrolę nad naszymi poświadczeniami.

Jak się okazało w wyniku przypadkowych testów, aplikacja tumblra na system Apple iOS uwierzytelniając użytkownika nie korzystała z szyfrowanego połączenia. Administracja opublikowała już ostrzeżenie oraz odpowiednie aktualizacje aplikacji:

We have just released a very important security update for our iPhone and iPad apps addressing an issue that allowed passwords to be compromised in certain circumstances. Please download the update now.

Poświadczenia podróżujące w postaci jawnej nie trudno podsłuchać

Poświadczenia podróżujące w postaci jawnej nie trudno podsłuchać
źródło: theregister.co.uk

Pamiętajmy więc zawsze, że korzystając z niezaufanych sieci (np. publicznego WiFi) jesteśmy zawsze narażeni na podsłuch, a poczucie bezpieczeństwa związane z domyślnym korzystaniem z szyfrowanych połączeń może być złudne.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Paweł Maziarz

    Dokładnie. Ostatnio też robiłem przypadkowy test w jakiejś sieci i gdzieś mi się rzuciły w oczy nieszyfrowane login i hasło do Facebooka. Okazało się, że to komunikator Miranda. I w rzeczy samej, jak sobie spojrzymy na

    http://wiki.miranda-im.org/Facebook_Chat

    widać w Hintsach:

    4. Don’t use SSL or TLS.

    Odpowiedz
    • Paweł,
      W przypadku opisanym powyżej użytkownicy korzystali jednak z oficjalnej aplikacji przygotowanej przez bardzo znany serwis. Kto mógł się więc spodziewać, że w takim wypadku hasła będą przesyłane w postaci jawnej? Oczywiście wniosek z tego taki, że jeśli czegoś sami nie zweryfikujemy, to lepiej założyć, że nie jesteśmy bezpieczni.

      Odpowiedz
  2. Paweł Maziarz

    Masz rację. Natomiast Miranda (i inne third-party) też ma swój udział w rynku, a dorzucając do tego popularność fb i jego chata, nie zdziwiłbym się, gdyby w kilkunastu tysiącach liczeni użytkownicy nie powinni spać spokojnie z powodu podejścia typu ,,nie działa coś ssl/tls — wyłączmy i będzie działać”.

    Odpowiedz

Odpowiedz