Microsoft

Internet Explorer do Windows Phone tem falha de segurança

17 Comentários

Os browsers sempre foram o campo de eleição para a exploração de falhas e de bugs por parte de todos os que se dedicam a estas tarefas.

É frequente o surgimento de novos problemas e novos buracos de segurança, com diferentes graus de severidade e de impacto, sempre afectando os utilizadores.

O mais recente surgiu agora no Internet Explorer do Windows Phone e, apesar de ser difícil de explorar, pode dar acesso a muita informação sensível do utilizador.

IE_Win_mobile_1

A falha aparentemente está presente nas versões móveis do Internet Explorer há já bastante tempo e sempre esteve disponível para ser explorada.

É um problema simples de explorar, mas necessita que o atacante tenha acesso físico ao equipamento, altura em que poderá facilmente ter acesso às passwords que estiverem armazenadas no browser.

Esta situação foi apontada por um utilizador do Reddit, que numa “inocente” questão colocada fez ver que é extremamente fácil aceder a uma password guardada nesta versão do IE.

Em concreto é simples a qualquer um aceder a uma página, onde esteja presente uma password memorizada e seleccioná-la para depois realizar uma simples pesquisa, recorrendo ao botão presente para esse fim.

Ao usar essa pesquisa o IE e o Bing, ou a Cortana, vão pesquisar a password que estiver guardada, mostrando-a ao utilizador e dando assim acesso a um elemento que deveria estar protegido.

O IE não permite que sejam realizadas cópias de passwords dos campos presentes nas páginas, mas com este simples truque passa a ser possível ter acesso às passwords, de forma ainda mais simples.

IE_Win_mobile_2

Esta falha foi de imediato reportada à Microsoft que respondeu que ao exigir um acesso físico ao equipamento deixa de ser uma falha de segurança e que a mesma não será corrigida.

É curioso notar que vários utilizadores testaram esta quebra de segurança no Windows 10 para dispositivos móveis e a mesma não está presente.

Mesmo não sendo uma falha grave e que requeira condições muito especiais para ser explorada, não deixa de representar um problema de segurança.

Muitos vão argumentar que ao ter o dispositivo acessível o atacante pode simplesmente entrar no serviço e alterar a password a seu gosto, mas é importante lembrar em muitas vezes emprestamos os nossos dispositivos por momentos e para serem realizadas algumas acções simples, podendo nessa altura serem obtidas as passwords gravadas.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
bug explorer falha IE Internet password Segurança Windows Windows Phone

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Já pode testar a quarta versão beta do iOS 8.3
Artigo anterior

Já pode testar a quarta versão beta do iOS 8.3
Google vai permitir o pagamento de contas dentro do Gmail
Próximo artigo

Google vai permitir o pagamento de contas dentro do Gmail
PUB

Comentários

17

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Jose
    Jose

    A maioria dos browsers permite ver as passwords guardadas.

    Responder
    1. Avatar de luis rocha
      luis rocha

      Incluindo aos Android’s, obviamente

      Responder
    2. Avatar de Luís Lemos
      Luís Lemos

      ^^ ISTO ^^
      Até há não muito tempo o firefox mostrava as passwords todas com 3 ou 4 clicks, agora nem sei como está esta situação. Para mim se o hacker necessita ter acesso ao equipamento para aceder à informação, não é considerado uma falha de segurança! Falha de segurança é o utilizador deixar um equipamento pessoal ser usado por outra pessoa, ou guardar passwords num equipamento que é usado por várias pessoas.

      Responder
    3. Avatar de Miguel Nóbrega
      Miguel Nóbrega

      A keychain do mac…
      Chrome’s, firefox e afins, tudo facil de conseguir pass’s…

      Para a keychain precisas da pass do utilizador, o que não é difícil ter, visto que por vezes ao emprestar o PC temos de dá-la à pessoa em questao para que possa ligar o PC. (devia ter uma pass diferente e ser independente do browser) e aí tem acesso a tudo, desde a pass do banco à pass do wifi!!!

      Este do windows é a mesma coisa… Infelizmente todas as marcas fazem os seus SO’s como se o dono fosse a única pessoa a utilizar :/

      Responder
      1. Avatar de Nunes
        Nunes

        “Para a keychain precisas da pass do utilizador, o que não é difícil ter, visto que por vezes ao emprestar o PC temos de dá-la à pessoa em questao para que possa ligar o PC.”
        Mas quem é que faz tal coisa com alguém que não confie a 100%!????? Isso não é ser fácil é ser estúpido!!! Ainda mais quando pode criar um conta de convidado para outra pessoa usar momentaneamente!!!!!!!?
        E o problema é no Windows Phone e tanto quanto se sabe não há nada remotamente semelhante nos outros sistemas equivalentes.

        Responder
      2. Avatar de Nunes
        Nunes

        ” Infelizmente todas as marcas fazem os seus SO’s como se o dono fosse a única pessoa a utilizar ”
        Isso está longe de ser verdade! Não só os sistemas requerem que o acesso a determinados elementos sensíveis requeira a introdução da password da conta do utilizador, como as passwords são quase sempre ofuscadas para que ninguém estranho as possa visualizar.
        É sempre possível configurar que o acesso a uma password no “keychain” requeira que a pessoa introduza sempre a password da sua conta – mesmo num browser.

        Responder
  2. Avatar de ricardo
    ricardo

    So com acesso físico. A maioria dos telemoveis estão bloqueados com padrões, touch id ou passwords. Primeiro tem que passar essa barreira para chegar a isso. Quando sais de casa fechas a porta do quarto a chave ou fechas so a principal? E a mesma coisa.

    Responder
  3. Avatar de JJ
    JJ

    Se isso só é possível quem tem acesso físico ao equipamento… se esta falha for explorada a culpa será sempre do utilizador e não do sistema.

    Isto é valido para todos este tipo de falhas, que obriguem acesso físico ao equipamento, de qualquer SO.

    Responder
  4. Avatar de Alfredo Costa
    Alfredo Costa

    O Internet Explorer com falhas de segurança, até parece mentira.

    Responder
    1. Avatar de Mikes
      Mikes

      Isto é comum a todos ou quase todos.

      Responder
  5. Avatar de Dumitru
    Dumitru

    É uma falha que não é uma falha, interessante como o artigo nega-se a sim próprio lol. Vocês gostam mesmo de falar mal do wp lol, esta opção esta disponível nos browsers androids também, ahh mas pera para eles não é um erro lol

    Responder
  6. Avatar de Mikes
    Mikes

    Isto é basicamente o mesmo que as apps de gestão de passwords têm um falha grave porque mostram as paswords a quem tem acesso à app.
    Criaram aqui um problema que não existe.

    Responder
  7. Avatar de Proud Troll
    Proud Troll

    O IE tem uma falha?

    Ai sim?

    Qual é a próxima notícia?

    Que o mar tem sal?

    Depois eu é que sou o troll.

    Responder
  8. Avatar de Marco Atao
    Marco Atao

    o WP e o so mais fraquinho que ja experimentei. Tirando a fluidez n vejo qq vantagem..android ou ios fazem mto mais e embora sejam mais caros sao mais rentaveis para quem quer um smartphone e nao dumbphone

    Responder
    1. Avatar de RF
      RF

      Uma coisa é experimentar.. outra é usar! Eu cá uso os três OS e o Android é o que menos gosto, mesmo tendo um S5 da empresa, que não é um Android barato aquilo sai das apps sem mais nem menos e está sempre com alertas de pouco RAM! Os outros dois são rápidos, simples e intuitivos..

      Responder
  9. Avatar de rui jorge silva
    rui jorge silva

    se é necessario acesso fisico, nao vao a lado nenhum comigo. Alem disso, nao tenho por habito memorizar passwords no ie do meu Lumia.
    Deviam era pensar em adaptar os sites aos browsers moveis, isso sim.

    Concordo com a frase da Microsoft.

    Responder
  10. Avatar de Sérgio
    Sérgio

    Também concordo com a posição da microsoft, o que não invalida esta noticia ser um bom alerta para um certo numero de pessoas extremamente desleixadas.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.