Me hubiera encantado poner como título a esta entrada "Tu contraseña de Dropbox, guardada en texto claro", que sería carne de cañón, cuando realmente la contraseña a la que me refiero, no es la propia del servicio de Dropbox.
Esta aplicación que dispone de cliente para dispositivos IOS (esto de que haya iPad, iPhone y AppleTV y no pueda usar un único termino es realmente molesto), permite especificar un PIN de cuatro números antes de mostrar el contenido de la "carpeta en la nube".
Otra característica interesante de esta protección es que también posibilita la opción de eliminar los archivos si este código secreto se escribe erróneamente 10 veces seguidas. Evitando la posibilidad de que alguien trate de automatizar el proceso y hacer un ataque de fuerza bruta que recorra del 0000 al 9999. Por cierto, si la habilitáis, no uséis un código del 0000 al 0009 o ¡¡la encontrarán antes de que se borren!! :-)
Lo curioso es que una empresa como Dropbox, que ya tiene una masa muy importante de usuarios y consideran un factor crítico la seguridad, cometa un error de novato y guarde este PIN en texto claro, sin cifrado de ningún tipo en un archivo plist.
La peor parte es que esto debería sorprender, pero es tan común en casi todas las aplicaciones que ya parece hasta normal.
Os podéis plantear una duda: si para acceder a ese fichero hace falta que el teléfono tenga jailbreak, ¿qué más da? ya que también podría acceder al "fichero de sesión" de la aplicación y por lo tanto utilizar otro terminal accediendo sin contraseña.
Me alegra que me hagáis esta pregunta, incluso que me la haga yo mismo, que así puedo responderla.
Importa, ya que la seguridad se basa en capas y nada tiene que ver que un control de seguridad pueda ser evadido de varias formas para no tapar el mayor número posible de ellas.
Otro día vemos como saltarse otra aplicación con una protección similar, sin tener ni averiguar el código.
11 comments :
Menudo fail, mucha seguridad por un lado y después la cagan por otro.
Lo de los 10 intentos no lo sabía, aun así me da un poco de miedo, que no es la primera vez que se le vuelan los patos a la pantalla y marca donde quiere (aunque 10 me da más tranquilidad que 3)
Y tal y como se explica aquí ( http://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/) almacenar las contraseñas en texto plano es ilegal.
Perdón por el error, pero el poner los paréntesis el enlace no funciona :( , la URL correcta es esta: http://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/
acabo de probar en android y no veo donde se guardan las contraseñas, así que no se si tiene el mismo fallo
Me estás diciendo que yo te introduzco 10 veces el código mal y te borro los archivos? :/
Creo que lo del borrado es otra gran burrada. Deberían implementar un sistema de bloqueo a la cuenta y contar con un sistema de recuperación alternativo.
en android es mas de lo mismo
De todos modos,es acojonante lo que prospera ese servicio y los "pocos" incidentes de seguridad (llamese por ejemplo,revelacion de secretos) que se oyen
A mi me da por pensar que hay una tribu de loggers ocultos haciendo rsync de las carpetas "my dropbox" around the world :) esperando compradores
CarloX aka cbote
Creo que no has leido bien el mensaje, dice que los datos seran borrados de ese dispositivo. No de la nube. Osea que solo borra los files del terminal en cuestion. la nube sigue intacta. O ESO CREO... me gustaria que se aclarase esa parte
Creo que no has leido bien el mensaje, dice que los datos seran borrados
de ese dispositivo. No de la nube. Osea que solo borra los files del
terminal en cuestion. la nube sigue intacta. O ESO CREO... me gustaria
que la gente de securitybydefault aclarase esa cuestion que hemos planteado ya 3 usuarios en este POST. gracias
Del dispositivo. De todas formas puedes preguntar en los foros de Dropbox o incluso probarlo.
Un saludo.
Publicar un comentario