2015/09/07

Secure Channels promete segurança total - mas expõe password da sua conta Gmail na sua app


Noutros tempos, os vendedores de "banha da cobra" eram um fenómeno comum e recorrente. Mas não pensem que desapareceram; pois o que se passa é que simplesmente se adaptaram os tempos e agora o fazem em versão digital.

A Secure Channels é uma empresa de segurança que surgiu recentemente e que diz ter um sistema de encriptação 100% infalível e à prova de hackers, indo ao ponto de oferecer prémios de milhares de dólares (e até um BMW) a quem conseguisse desencriptar um documento protegido pela sua tecnologia. O problema é que a empresa não passa de uma completa fraude que se limita a tentar manipular a opinião pública... mas sendo rapidamente apanhada por alguns especialistas em segurança.

É que a empresa afinal se limitava a usar apps gratuitas existentes, modificando-as para que parecessem suas; fazia as suas próprias avaliações positivas na app; e mesmo assim... nem sequer fazia um bom trabalho.


Numa das suas apps, estava facilmente acessível a password da conta de Gmail da empresa, e que era usada para o processo de envio dos emails de reset das passwords - significando que esses mesmos emails ficavam à disposição de qualquer utilizador que se dignasse a espreitar o que a app continua.

Em resposta a estas revelações, a empresa mostrou mais uma vez o seu "nível". Publicamente, agradeceu ao investigador e desculpou-se, prometendo resolver o problema. Nos bastidores, deu início a uma campanha anónima para desacreditar o investigador, dizendo que ele tinha violado a lei ao descompilar a app. O problema é que a forma como o fizeram voltou a demonstrar a sua total falta de conhecimento (ou mero bom senso). Num dos screenshots publicados por estes "anónimos preocupados" ficou perfeitamente visível a conta que estava activa no browser, e que era nada mais nada menos que a de Deidre "Dee" Murphy, directora de Marketing da Secure Channels (e onde se fica a saber também que uma das páginas do seu browser dizia respeito a "como tirar um screenshot num Mac").



Uma atitude que poderá talvez ser melhor enquadrada quando se fica a saber que o seu CEO Richard Blech já se deu por culpado num caso anterior de esquemas de pirâmide e fraudes.

Mas isso parece não o impedir de continuar com os seus esquemas, agora no campo da segurança e encriptação, e recorrendo a tácticas bem nossas conhecidas, como a tentativa de silenciar o problema recorrendo à DMCA para eliminar os tweets que considera gravosos (coisa que o Twitter fez, mas que repondo-os assim que o assunto começou a dar que falar.)

Ainda assim, a empresa adicionou uma "licença de utilização" ao produto em questão, proibindo a sua descompilação e reverse engineering, que lhe pode dar cobertura legal contra alguém que tente chamar a atenção para estas falhas flagrantes. Em suma... usar as leis para proteger produtos inseguros e fraudulentos, que deveriam, eles próprios serem ilegais!

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]