¿Ya conocéis el dicho no? De tal palo tal astilla. Tiene bastante que ver con la historia que hoy os quiero mostrar... si os digo que tiene que ver con algo de tuenti la mitad ya caeréis... }:))
¿Os acordáis de este incidente? Es posible que hoy, pase lo mismo. Sin embargo no voy a poner ninguna herramienta a vuestra disposición ya que sería demasiado fácil. Simplemente voy a mostrar algunos temas referentes a la aplicación y su funcionamiento inseguro.
Bien, vamos allá. Estoy hablando de la famosa aplicación de Tuenti para smartphones. Es muy bonita y funciona muy bien (?), solo que es mejor que no la utilices en la biblioteca más allá de que te despistes.
Dispuesto a echarle un ojo, me monté un proxy local para interceptar todo lo que pasaba por mi red de esa app tan chuli y preciosa.
Luego de tenerlo correctamente configurado y funcionando, lo enchufé en el Ayfon.
Ya estaba todo listo, todo preparado. Así que decidí mirar si por casualidad la app de Tuenti usaba el protocolo https.
Ahí está tu id de sesión, que se debe adjuntar a todas y cada una de las peticiones, que carece de comprobante alguno y es vulnerable a hijacking como ya se ha demostrado. Luego está tu id de usuario, desde el cual se puede acceder visualmente a tu perfil, es decir, saber quién eres.
Y bueno que te voy a decir, ahí está todo, en claro y para cualquier persona con un poco de tiempo en la red. ¡Juzgad vosotros si sacáis o no datos!
Llamadme iluso, pero yo pensaba que la aplicación de tuenti usaría https después de que pasasen muchos meses con el incidente de xmpp en claro.
¡Yo lo tengo claro! WhatsApp, Tuenti y algunas otras solo van a funcionar en mi super red y en 3G. }:)) Aunque ya podrían pegarse una actualización y dejar a esta entrada como agua pasada... Saludos!!
0 comentarios:
Publicar un comentario en la entrada