9:06
19/7/2013

Tumblr na iPhone i iPada ujawniał hasła użytkowników

Autor: Dawid Bałut | Tagi:  

We wtorek ekipa Tumblr poinformowała o wydaniu aktualizacji swojej aplikacji na iOS. Usunięto błąd bezpieczeństwa — aplikacja przesyłała hasło do serwisu bez szyfrowania.

Nie wykorzystywali HTTPS przy logowaniu

Ponieważ dane nie były w żaden sposób szyfrowane w transporcie, mogły zostać łatwo przechwycone przy użyciu sniffera wykorzystywanego przez atakującego znajdującego się gdziekolwiek na trasie pakietów pomiędzy klientem a serwisem.

Tumblr - plaintext password

Tumblr – plaintex password, fot. The Register

Popularnym miejscem służącym do sniffowania haseł są z reguły wszystkie otwarte hotspoty (w Starbucksie, McDonaldzie, itp.) lub sieci chronione WEP-em (wszyscy klienci mają ten sam klucz i widzą ruch pozostałych użytkowników danej sieci Wi-Fi). BTW: narzędzia ułatwiające przechwytywanie haseł/kont w tego typu środowiskach to m.in. dodatek do Firefoksa Firesheep lub jego mobilna wersja na Androidy, napisana przez naszego rodaka — Facesniff …a także wszelkiego rodzaju oprogramowanie do ataków Man in the Middle (np. ettercap).

Niedopatrzenie odkrył jeden z czytelników The Registera, który otrzymał zadanie zbadania aplikacji mobilnych wykorzystywanych przez jego współpracowników pod kątem (nie)bezpieczeństwa dla danych firmy, w której pracuje.

Jak sprawdzić, czy inne aplikacje nie “wyciekają” haseł?

Proces testowania jest prosty, dlatego zachęcamy każdego z was do wykonania podobnych testów na wykorzystywanych przez siebie aplikacjach.

Wystarczy wyjąć kartę SIM (aby mieć pewność, że dana aplikacja nie wysyła danych przez transmisję pakietową) a następnie

  • a) połączyć się z siecią Wi-Fi i uruchomić sniffing pakietów na interfejsie routera (np. poprzez tcpdump) lub
  • b) udostępnić połączenie Wi-Fi smartphone’owi poprzez bridging interfejsów w systemie operacyjnym, dzięki czemu będziemy mogli sniffować np. Wiresharkiem wprost z naszego komputera

Jeśli korzystasz z Tumblr

Jeśli korzystasz z aplikacji Tumblr na swoim iPadzie/iPhonie, to zaktualizuj ją do wersji 3.4.1. Dodatkowo, warto na wszelki wypadek zmienić hasło do swojego konta (a nuż ktoś je zesniffował?). Nie wspominamy o zmianie haseł w innych portalach, bo chyba nie używacie jednego hasła w wielu miejscach, prawda?

Przeczytaj także:

 
Niebezpiecznik

19 komentarzy

Dodaj komentarz
  1. Pawel 2013.07.19 09:30 | # | Reply

    A że się spytam – po co w ogóle wysyła hasło? Do tamtych programistów nie dotarła jeszcze nowinka zwana challenge-response authentication???

    • Marek 2013.07.19 12:35 | # |

      Raczej dotarła: “The simplest example of a challenge-response protocol is password authentication, where the challenge is asking for the password and the valid response is the correct password.” ;)

    • Pawel 2013.07.19 14:00 | # |

      ;) na końcu Twojego posta sugeruje, że wiadomo o co chodzi. Miałem oczywiście na myśli choćby najprostsze C-R z losowym challengem i hashowaniem odpowiedzi (a’la APOP z POP3)

    • e 2013.07.19 21:55 | # |

      Ale do tego serwer musiałby mieć hasło zapisane otwartym tekstem. Lub niekoniecznie hasło, ale “coś” np hash hasła który po wyciągnięciu z serwera umożliwiłby logowanie na serwer.

    • bighard 2013.07.20 11:07 | # |

      @e a jak by serwer trzymal klucz publiczny, klient klucz prywatny i wysylalby ot chocby zaszyfrowany timestamp+login? :)

  2. Witold 2013.07.19 09:36 | # | Reply

    W takich momentach człowiek się cieszy, że zazwyczaj to produkty Apple jako pierwsze dostają aktualizacje :)

    • Paweł 2013.07.19 11:30 | # |

      …bo jako jedyne potrzebują? ;)

    • Utter 2013.07.19 14:04 | # |

      Android też potrzebuje i co? Błędy leżą miesiącami (te jawne w samym systemie nie mówiąc o aplikacjach) bo nawet jeśli Gugiel załata to zanim to dojdzie do Samsunga czy innych plastikowców miną miesiące / lata.

  3. anonim 2013.07.19 12:19 | # | Reply

    na co komu https skoro kazdy moze sobie skrobnac wlasna wersje sslstripa

    • Dolan 2013.07.19 13:14 | # |

      Czy bankowosc tez jest na to narazona ? czyli mozna ominac wszedzie https uzywajac ssltripa ?

  4. matja 2013.07.19 12:43 | # | Reply

    a nie można po prostu podsłuchać będąc w tej samej sieci bezprzewodowej co telefon? czy jakaś popołudniowa zamuła mózgu mnie złapała i czegoś nie uwzględniłem?

    • Olo 2013.07.20 00:34 | # |

      Nie wszystkie karty pozwalają na przełączenie w tryb promisc? Nie jest to najłatwiejsze rozwiązanie? No dobra na Mac OS X to kwestia 1 polecenia, ale na Win czasem jest z tym trochę zabawy.

  5. anonim 2013.07.19 12:59 | # | Reply

    np poprzez wifi mozna mitm i nawet https nie zda egzaminu chyba ze o czyms nie wiem co jest dosyc prawdopodobne

    • E 2013.07.19 15:08 | # |

      ale wtedy przecież wywali Ci błąd certyfikatu

  6. Utter 2013.07.19 14:03 | # | Reply

    Opcja izolacji klientów bezprzewodowych w OpenWRT chroni przed takim podsłuchiwaniem w sieci lokalnej?

  7. lukasss 2013.07.20 12:56 | # | Reply

    Dobrze, że nie korzystam z tumblra z tego programu i tak w większości korzystają młodzi.

  8. Marcin 2013.07.21 16:58 | # | Reply

    A tak wszystkie rzeczy od Apple chwalą, że bezpieczne ;)

  9. Pankracy 2013.07.22 08:00 | # | Reply

    Myślałem, że w cywilizowanym świecie https to standard i nie może być innej możliwości przesyłania haseł…. :)

  10. Paulo 2013.07.28 10:26 | # | Reply

    I bardzo dobrze. Wszystkie szanujące się serwisy mają SSL i
    tylko SSL. Reszta to śmieci których nie stać na wprowadzenie SSL na
    serwerze a to przecie tylko kilka set USD… a ludzie sami sobie
    winni! Logowanie przez SSL trwa o 1,5-2sek dłużej :-) Może to jest
    winą???

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: