Notícias

Apps populares mas “perigosas” revelam passwords no Android

19 Comentários

A segurança informática é certamente um dos temas mais explorados mas também debatidos dentro do mundo da tecnologia. No segmento dos dispositivos móveis as empresas responsáveis pelos sistemas operativos têm reforçado constantemente as suas plataformas mas, apesar dos esforços, os “buracos” continuam a aparecer.

Desta vez uma investigação levada a cabo pelo site AppBugs revelou que existem no Android várias apps populares que expõem as passwords dos utilizadores.

android


De acordo com o estudo da  empresa AppBugs, que se dedica a avaliar eventuais vulnerabilidades em aplicações para dispositivos móveis, no Android existem várias apps que podem revelar as passwords dos utilizadores. Como?

password-interception-640x311

National Basketball Association, Match.com dating service, Safeway supermarket chain e PizzaHut são alguns exemplos de apps que são bastante populares mas perigosos.

De acordo com a investigação, estas apps não usam o protocolo HTTPS (ou este está mal implementado) nas comunicações com os servidores, sendo que desta forma as passwords passam “em claro” na rede – veja aqui o exemplo de um site sem HTTPS. Com este cenário, um ataque man-in-the-middle pode facilmente revelar as credenciais de um utilizador para um determinado serviço.

Demonstração do ataque

A AppBugs já informou os responsáveis pelas apps de tais problemas mas, na sua maioria, nem sequer responderam.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Android https

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Facebook Moments está proibido na União Europeia
Artigo anterior

Facebook Moments está proibido na União Europeia
“Pornografia de vingança” fora das pesquisas do Google
Próximo artigo

“Pornografia de vingança” fora das pesquisas do Google
PUB

Comentários

19

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Alex
    Alex

    Então o Chorme também é inseguro… Pode aceder a websites que não tem https!

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Na verdade o Chrome é um simples browser, essa parte é normalmente da responsabilidade dos serviços. Há no entanto extensões que forçam o uso de HTTPs.

      Responder
    2. Avatar de Paulo Martins
      Paulo Martins

      Se um site não for no protocolo HTTPS não tem qualquer tipo de encriptação na ligação, o que quer dizer que tudo o que tu envias e recebes pode facilmente ser acedido na rede, incluíndo passwords, através de programas comuns como o Wireshark por exemplo.
      O problema mais grave no entanto é quando um site tem o protocolo HTTPS mas está mal implementado, aí tu pensas que tens uma ligação segura que na verdade não existe.

      Há uns anos, não assim há muito tempo, por exemplo quando acedias ao gmail.com a página de login estava com o protocolo HTTPS ou seja quando fazias Login ninguém (pelo menos de forma simples) conseguiria ter acesso à tua password, mas as restantes páginas estavam em HTTP ou seja, eu não via a tua password mas podia filtrar todos os mails que tu visses.

      Responder
      1. Avatar de Pedro Pinto
        Pedro Pinto

        HTTPS para sites que passam dados sensíveis….é lei!!! 🙂

        Responder
  2. Avatar de daiquiri
    daiquiri

    lol “o que, apareceu uma vulnerabilidade na apple a sério que rouba as passwords? vamos arranjar uma para o android, mesmo que seja algo que sempre existiu e faz parte da forma como a net funciona!”

    neste caso o windows também é vulneravel quando corro o firefox ou chrome ou seja o que for e meto o wireshark a apanhar as passwords… lol

    Responder
    1. Avatar de JBM
      JBM

      A vulnerabilidade das passwords na “Apple” era só no Mac não no iOS. Quanto ao “algo” que sempre existiu, há anos que existe HTTPS e há anos que se critica a comunicação não encriptada de dados de autenticação.

      Responder
  3. Avatar de int3
    int3

    pplware fala muito do HTTPS mas nem sequer o tem implementado no seu website. é algo bastante interessante…

    Responder
    1. Avatar de JBM
      JBM

      O que é que há aqui que requeresse o uso de HTTPS!?

      Responder
      1. Avatar de Pedro Pinto
        Pedro Pinto

        Exacto. Não pedimos “dados” sensíveis aos utilizadores.

        Responder
        1. Avatar de onike
          onike

          Quanto a isso não concordo muito, eu acho que o email é algo pessoal, apesar de hoje em dia haver montes de sites para criar emails temporários e assim, mas de qualquer das formas, toda a gente sabe o valor que uma boa lista de email pode ter…

          Responder
          1. Avatar de Pedro Pinto
            Pedro Pinto

            Sim, mas ninguém usa ataques man in the middle para “roubar” e-mails 😀

        2. Avatar de int3
          int3

          os comentarios por exemplo?

          Responder
          1. Avatar de JBM
            JBM

            Os comentários? Considerando que não há logins e que os comentários são públicos, não vejo o que é que se pode ganhar com o HTTPS.

          2. Avatar de int3
            int3

            O objetivo de encriptar os dados, JBM, não é só proteger os dados de login mas sim o que o PC X vê. E só pelo facto de saber que o nick X email Y comentou no site Z pode-te dizer muita coisa. Sabes que essa pessoa, se a conheceres de vista online, está no sitio tal a hora tal… à primeira vista parece algo inutil mas as coisas pequenas, o minimo de informação é o suf para saber muita coisa.

          3. Avatar de JBM
            JBM

            com todo o devido respeito mas o que se lê e escreve no Pplware não diz absolutamente nada a não ser que andem para aqui a escrever o nome completo, o que têm e onde vivem, mas mesmo aí quer seja encriptado ou não é irrelevante pois o que escrevem é público!
            Quanto a saber onde a pessoa está, andas a ver muitos filmes, o que se obtém é o IP e isso para a maioria dos casos no máximo dá a cidade, muitas vezes errada, a não ser que tenham acesso privilegiado a informação protegida das operadoras de telecomunicações. Mas creio que mesmo nisso tanto faz se está ou não encriptado pois os IPs continuam a aparecer – a rede precisa de saber os endereços!
            Pela tua ordem de ideias tudo acabaria por ser encriptado e protegido, pelo sim pelo não, mesmo que no fim seja público!
            Acho bem mais preocupante para a privacidade neste site os cookies.

  4. Avatar de Marco Chapita
    Marco Chapita

    voces todos os dias arranjam artigos para assustar quem tem android,tentem ao menos serem imparciais,poem um artigo contra o SO android um contra o SO IOS, assim tinha mais graça ao menos 😉
    https://www.google.co.uk/?gws_rd=ssl#q=iphone+app+bugs

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Imparciais? Então, demos conta de todos os recentes problemas em várias plataformas, porque só apontaste o iOS? Falámos dos problemas do iOS e OS X http://bit.ly/1BukFlA falámos em problemas no Windows http://bit.ly/1B8BBhA e falámos em Android http://bit.ly/1HWCICf. Contudo só vês para um lado… eu sei o que é isso: http://bit.ly/1Bul1J8

      Responder
  5. Avatar de ilima
    ilima

    Mas então não devia de ser as empresas donas das apps , as primeiras a preocuparem -se com os seus clientes , acho eu que a pizza hut quer uma app para vender umas pizas , apesar de ser utilizador wp já sei que app não instalarei

    Responder
  6. Avatar de Gonçalo
    Gonçalo

    O website do AppBugs não abre!

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.