Autenticador da Proton tem falha grave corrigida no aplicativo de iOS; Entenda o risco

05 ago Autenticador da Proton tem falha grave corrigida no aplicativo de iOS; Entenda o risco

Posted at 20:15h in Tech-Pt-br by

Na última semana, a Proton lançou seu próprio aplicativo de autenticação em dois fatores. Para os usuários mais preocupados com a segurança digital, a notícia foi muito bem recebida, já que a empresa se tornou popular por valorizar a privacidade de dados de seus clientes.

Contudo, a estreia do novo aplicativo – disponível para Windows, macOS, Linux, Android e iOS – encarou um sério problema no último final de semana. Conforme apontava uma publicação do Reddit, agora deletada, a versão para os celulares da Apple possuía uma grande falha de segurança.

Segundo o autor da publicação, o aplicativo para iOS “vazava” as Senhas de Uso Único Baseadas em Tempo (TOPTs) em um simples arquivo de texto. Em outras palavras, caso esses registros fossem compartilhados, os usuários poderiam ter seus códigos de autenticação expostos.

Como o problema do autenticador da Proton foi descoberto?

A falha no aplicativo de autenticação da Proton foi inicialmente descoberta por acaso. Segundo o autor da publicação no Reddit, Derperderpington, um pequeno bug no histórico de usos – não relacionado – começou todo o caso.

Segundo ele, ao tentar relatar esse bug para a Proton, se deparou com um problema bem maior. “Acontece que o registro de erros [gerado pelo aplicativo] contém segredos completos do TOTP em texto simples,” ele afirma, ”Sim, incluindo o da minha conta Bitwarden.”

Adiante, outros comentadores identificaram o que causou a falha na versão para iOS do autenticador. Em suma, a programação adicionava informações das senhas temporárias para uma variável de parâmetros. Esses dados, então, eram redirecionados para funções focadas em adicionar ou atualizar as senhas no aplicativo.

Nesse processo, as mesmas funções também enviavam os dados para o registro – causando o “vazamento”. Pouco depois do caso repercutir, a Proton confirmou a falha para o aplicativo de iOS do autenticador – que já foi corrigida na versão 1.1.1.

Nenhuma outra versão do aplicativo foi afetada pelo caso.

Qual o risco do problema para os usuários?

Segundo a Proton, em comentários ao BleepingComputer, as senhas temporárias nunca são transmitidas aos servidores em texto simples, e sempre são encriptadas de ponta-a-ponta. A empresa ainda complementa: “Os registros gerados são apenas locais”.

Adiante, a Proton também explica que a Regulamento Geral sobre a Proteção de Dados da Europa (GDPR), exige que as senhas geradas possam ser exportadas localmente para os dispositivos. “Mesmo se [as senhas] não estivessem nos registros, alguém com acesso ao seu dispositivo ainda conseguiria obtê-las,” afirma a empresa.

A Proton reitera que sua encriptação não consegue proteger dispositivos localmente comprometidos por ameaças – como no caso de um RAT, Trojan de Acesso Remoto, ou alguém com acesso legítimo. “Você deve sempre proteger [fisicamente] seu dispositivo, pois isso está fora do nosso modelo de ameaças,” explica.

E você, o que acha disso? Nos conte nas redes sociais do TecMundo!