09 marzo 2012

Tu contraseña, en un archivo en texto claro.


Me hubiera encantado poner como título a esta entrada "Tu contraseña de Dropbox, guardada en texto claro", que sería carne de cañón, cuando realmente la contraseña a la que me refiero, no es la propia del servicio de Dropbox.


Esta aplicación que dispone de cliente para dispositivos IOS (esto de que haya iPad,  iPhone y AppleTV y no pueda usar un único termino es realmente molesto), permite  especificar un PIN de cuatro números antes de mostrar el contenido de la "carpeta en la nube".

Otra característica interesante de esta protección es que también posibilita la opción de eliminar los archivos si este código secreto se escribe erróneamente 10 veces seguidas. Evitando la posibilidad de que alguien trate de automatizar el proceso y hacer un ataque de fuerza bruta que recorra del 0000 al 9999. Por cierto, si la habilitáis, no uséis un código del 0000 al 0009 o ¡¡la encontrarán antes de que se borren!! :-)


Lo curioso es que una empresa como Dropbox, que ya tiene una masa muy importante de usuarios y consideran un factor crítico la seguridad, cometa un error de novato y guarde este PIN en texto claro, sin cifrado de ningún tipo en un archivo plist. 

La peor parte es que esto debería sorprender, pero es tan común en casi todas las aplicaciones que ya parece hasta normal.


Os podéis plantear una duda: si para acceder a ese fichero hace falta que el teléfono tenga jailbreak, ¿qué más da? ya que también podría acceder al "fichero de sesión" de la aplicación y por lo tanto utilizar otro terminal accediendo sin contraseña.

Me alegra que me hagáis esta pregunta, incluso que me la haga yo mismo, que así puedo responderla.

Importa, ya que  la seguridad se basa en capas y nada tiene que ver que un control de seguridad pueda ser evadido de varias formas para no tapar el mayor número posible de ellas.

Otro día vemos como saltarse otra aplicación con una protección similar, sin tener ni averiguar el código.


8 comments :

Luigi dijo...

Menudo fail, mucha seguridad por un lado y después la cagan por otro.
Lo de los 10 intentos no lo sabía, aun así me da un poco de miedo, que no es la primera vez que se le vuelan los patos a la pantalla y marca donde quiere (aunque 10 me da más tranquilidad que 3)

Privacidad en Internet dijo...

Y tal y como se explica aquí ( http://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/) almacenar las contraseñas en texto plano es ilegal.

Privacidad en Internet dijo...

 Perdón por el error, pero el poner los paréntesis el enlace no funciona :( , la URL correcta es esta: http://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/

iDani dijo...

acabo de probar en android y no veo donde se guardan las contraseñas, así que no se si tiene el mismo fallo

fon dijo...

Me estás diciendo que yo te introduzco 10 veces el código mal y te borro los archivos? :/

Daniel dijo...

Creo que lo del borrado es otra gran burrada. Deberían implementar un sistema de bloqueo a la cuenta y contar con un sistema de recuperación alternativo.   

cannabislegalize dijo...

 en android es mas de lo mismo

Anónimo dijo...

De todos modos,es acojonante lo que prospera ese servicio y los "pocos" incidentes de seguridad (llamese por ejemplo,revelacion de secretos) que se oyen

A mi me da por pensar que hay una tribu de loggers ocultos haciendo rsync de las carpetas "my dropbox" around the world :) esperando compradores

CarloX aka cbote