2016/02/29

ePark da EMEL deixava passwords vulneráveis


A app ePark para pagamento do estacionamento tinha uma vulnerabilidade que permitia aceder à password e dados dos utilizadores com relativa facilidade.

Notícias sobre erros de segurança e vulnerabilidades são cada vez mais comuns, e infelizmente também acontecem aqui bem perto de nós. A EMEL diz ter sido alertada para uma falha na app ePark para Android no sábado, tendo reagido prontamente e disponibilizado uma actualização logo no dia seguinte (28).

A falha em questão é uma das nossas velhas conhecidas, e que infelizmente parece continuar a aparecer: o envio de dados de forma insegura, que permitiriam que qualquer pessoa que estivesse à escuta dos mesmos pudesse apanhar dados como o email e password dum utilizador. Embora a reacção tenha sido rápida, esta falha é sintoma de um mal talvez ainda mais grave e sintomático, de que a questão da segurança não foi um aspecto que foi contemplado logo de raiz.

Enviar quaisquer tipo de dados - mas especialmente passwords(!) - sem que esteja garantida uma forma de comunicação segura, é uma daquelas coisas básicas; ao nível de nunca se guardar uma cópia da password, mesmo que encriptada (o popular teste de fazer a "recuperação de password" para ver se a mesma nos é enviada via email - em cujo caso deverão ter muito medo.)

Neste momento a app para Android já foi corrigida (bastando mudar o tipo de comunicação de inseguro para seguro) sendo que esta mesma falha não afectará as restantes versões da app ePark para iOS e Windows.



P.S. Segue-se o email que foi enviado para os utilizadores da app a alertar para o sucedido.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]