A maioria dos utilizadores confiará numa app que tenha milhões de downloads e boas avaliações por parte dos utilizadores. Mas infelizmente isso não é grande garantia, especialmente nas apps que prometem manter as fotos privadas em Android.
Quem quiser manter algumas das suas fotos protegidas de olhares indiscretos poderá sentir-se tentado a usar apps que prometem encriptar as suas fotos. Só que um especialista de segurança decidiu espreitar algumas das apps Android mais populares para este efeito, com milhões de downloads, e ficou horrorizado com o que descobriu.
Embora não refira o nome, a app que surge em primeiro lugar na pesquisa por "Secure Photo" (e que muito provavelmente é a "Hide Pictures Keep Safe Vault" com mais de 10 milhões de downloads) pode ter bom aspecto, mas a promessa de segurança das fotos encriptadas é completamente traída pelo facto da app guardar o PIN em plaintext!
A seguinte, "Private Photo Vault" também com mais de um milhão de downloads, não comete um erro tão grave, mas também permite que o PIN (com um máximo de 4 dígitio) seja facilmente crackado via brute force numa questão de segundos.
É uma situação bastante grave porque vem relembrar-nos que, na grande maioria dos casos (sempre?) os utilizadores são obrigados a confiar que a app que estão a instalar e utilizar faz aquilo que realmente promete fazer. Se nuns casos temos que nos preocupar com a possibilidade da app poder fazer coisas que não devia (se tiver malware), neste caso somos confrontados com a possibilidade da app não fazer o que devia da forma correcta.
... Uma app que promete proteger dados dos utilizadores e mantém o PIN em plaintext devia ser merecer que os seus programadores fossem imediatamente demitidos. :P
Publicado originalmente no AadM
24/10/2016
0 comments:
Enviar um comentário