9:06
19/7/2013

We wtorek ekipa Tumblr poinformowała o wydaniu aktualizacji swojej aplikacji na iOS. Usunięto błąd bezpieczeństwa — aplikacja przesyłała hasło do serwisu bez szyfrowania.

Nie wykorzystywali HTTPS przy logowaniu

Ponieważ dane nie były w żaden sposób szyfrowane w transporcie, mogły zostać łatwo przechwycone przy użyciu sniffera wykorzystywanego przez atakującego znajdującego się gdziekolwiek na trasie pakietów pomiędzy klientem a serwisem.

Tumblr - plaintext password

Tumblr – plaintex password, fot. The Register

Popularnym miejscem służącym do sniffowania haseł są z reguły wszystkie otwarte hotspoty (w Starbucksie, McDonaldzie, itp.) lub sieci chronione WEP-em (wszyscy klienci mają ten sam klucz i widzą ruch pozostałych użytkowników danej sieci Wi-Fi). BTW: narzędzia ułatwiające przechwytywanie haseł/kont w tego typu środowiskach to m.in. dodatek do Firefoksa Firesheep lub jego mobilna wersja na Androidy, napisana przez naszego rodaka — Facesniff …a także wszelkiego rodzaju oprogramowanie do ataków Man in the Middle (np. ettercap).

Niedopatrzenie odkrył jeden z czytelników The Registera, który otrzymał zadanie zbadania aplikacji mobilnych wykorzystywanych przez jego współpracowników pod kątem (nie)bezpieczeństwa dla danych firmy, w której pracuje.

Jak sprawdzić, czy inne aplikacje nie “wyciekają” haseł?

Proces testowania jest prosty, dlatego zachęcamy każdego z was do wykonania podobnych testów na wykorzystywanych przez siebie aplikacjach.

Wystarczy wyjąć kartę SIM (aby mieć pewność, że dana aplikacja nie wysyła danych przez transmisję pakietową) a następnie

  • a) połączyć się z siecią Wi-Fi i uruchomić sniffing pakietów na interfejsie routera (np. poprzez tcpdump) lub
  • b) udostępnić połączenie Wi-Fi smartphone’owi poprzez bridging interfejsów w systemie operacyjnym, dzięki czemu będziemy mogli sniffować np. Wiresharkiem wprost z naszego komputera

Jeśli korzystasz z Tumblr

Jeśli korzystasz z aplikacji Tumblr na swoim iPadzie/iPhonie, to zaktualizuj ją do wersji 3.4.1. Dodatkowo, warto na wszelki wypadek zmienić hasło do swojego konta (a nuż ktoś je zesniffował?). Nie wspominamy o zmianie haseł w innych portalach, bo chyba nie używacie jednego hasła w wielu miejscach, prawda?


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. A że się spytam – po co w ogóle wysyła hasło? Do tamtych programistów nie dotarła jeszcze nowinka zwana challenge-response authentication???

    • Raczej dotarła: “The simplest example of a challenge-response protocol is password authentication, where the challenge is asking for the password and the valid response is the correct password.” ;)

    • ;) na końcu Twojego posta sugeruje, że wiadomo o co chodzi. Miałem oczywiście na myśli choćby najprostsze C-R z losowym challengem i hashowaniem odpowiedzi (a’la APOP z POP3)

    • Ale do tego serwer musiałby mieć hasło zapisane otwartym tekstem. Lub niekoniecznie hasło, ale “coś” np hash hasła który po wyciągnięciu z serwera umożliwiłby logowanie na serwer.

    • @e a jak by serwer trzymal klucz publiczny, klient klucz prywatny i wysylalby ot chocby zaszyfrowany timestamp+login? :)

  2. W takich momentach człowiek się cieszy, że zazwyczaj to produkty Apple jako pierwsze dostają aktualizacje :)

    • …bo jako jedyne potrzebują? ;)

    • Android też potrzebuje i co? Błędy leżą miesiącami (te jawne w samym systemie nie mówiąc o aplikacjach) bo nawet jeśli Gugiel załata to zanim to dojdzie do Samsunga czy innych plastikowców miną miesiące / lata.

  3. na co komu https skoro kazdy moze sobie skrobnac wlasna wersje sslstripa

    • Czy bankowosc tez jest na to narazona ? czyli mozna ominac wszedzie https uzywajac ssltripa ?

  4. a nie można po prostu podsłuchać będąc w tej samej sieci bezprzewodowej co telefon? czy jakaś popołudniowa zamuła mózgu mnie złapała i czegoś nie uwzględniłem?

    • Nie wszystkie karty pozwalają na przełączenie w tryb promisc? Nie jest to najłatwiejsze rozwiązanie? No dobra na Mac OS X to kwestia 1 polecenia, ale na Win czasem jest z tym trochę zabawy.

  5. np poprzez wifi mozna mitm i nawet https nie zda egzaminu chyba ze o czyms nie wiem co jest dosyc prawdopodobne

    • ale wtedy przecież wywali Ci błąd certyfikatu

  6. Opcja izolacji klientów bezprzewodowych w OpenWRT chroni przed takim podsłuchiwaniem w sieci lokalnej?

  7. Dobrze, że nie korzystam z tumblra z tego programu i tak w większości korzystają młodzi.

  8. A tak wszystkie rzeczy od Apple chwalą, że bezpieczne ;)

  9. Myślałem, że w cywilizowanym świecie https to standard i nie może być innej możliwości przesyłania haseł…. :)

  10. I bardzo dobrze. Wszystkie szanujące się serwisy mają SSL i
    tylko SSL. Reszta to śmieci których nie stać na wprowadzenie SSL na
    serwerze a to przecie tylko kilka set USD… a ludzie sami sobie
    winni! Logowanie przez SSL trwa o 1,5-2sek dłużej :-) Może to jest
    winą???

Odpowiadasz na komentarz anonim

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: