17 de julio de 2013

Utilizar Tumblr en ‘ iPhone o iPad ‘ equivale a entregar la contraseña al MUNDO

Tumblr aplicación OS no inicia sesión de usuario a través de un servidor seguro (SSL). 
Como resultado de ello contraseñas de texto plano de los usuarios están expuestos a cualquier persona capaz de rastrear el tráfico de cualquier red Wi-Fi a un usuario iOS pasa a utilizar para conectarse a la popular cats'n'grumble plataforma de contenido libre.
El fallo de seguridad fue descubierto por un lector habitual durante el transcurso de la auditoría para su empleador que iOS apps eran admisibles para su uso en smartphones corporativos.
"Me pidieron para investigar diversas aplicaciones de iOS en el trabajo para ver si son adecuados para uso de la empresa (sin acceso no autorizado a los datos de la compañía, los contactos, etc)", explica.
"El Tumblr iOS está enviando la contraseña a través de texto sin formato y no a través de SSL," nuestra fuente explicó, aclarando que "no estamos hablando de recordatorios de contraseñas, sino de simplemente abrir la aplicación e inicio de sesión si la aplicación para iOS."  
Los mismos controles de tráfico de red en un Mac reveló que entra a Tumblr, en este caso se pasó a través de un servidor seguro, que evita la exposición del nombre de usuario y contraseñas en texto plano.
Dodi Glenn, director de gestión de contenido de seguridad en ThreatTrack Seguridad, confirmó que el iOS Tumblr no pudo pasar conexiones iniciales a través de un servidor seguro. 
Tumblr está fallando en aplicar algún tipo de cifrado en la parte más delicada del proceso, el primer inicio de sesión, de los usuarios en su aplicación nativa de iOS. 
Hemos informado este tema tanto a Tumblr y Yahoo, que ha completado la adquisición del servicio de micro-blogging mes pasado, pero aún estamos a la espera de recibir siquiera  un acuse de recibo de cualquiera de las partes. 

Fuente: The Register