El teu blog de Linux en català

Seriòs forat de seguretat a Pidgin [o no]

Hui s’ha pogut llegir en diferents blocs (i jo mateix ho he pogut comprovar) un seriòs forat de seguretat que el Pidgin té (si és que li podem dir realment “forat de seguretat”). Resulta que el Pidgin desa les nostres contrasenyes en text pla, sense cap tipus de codificació. Què vol dir això?, que qualsevol tinga accés al fitxer accounts.xml que es troba a la carpeta oculta .purple del vostre directori d’usuari al /home, podrà veure tal qual quina és la contrasenya associada al compte que teniu actiu amb Pidgin (en la major part dels casos podem parlar de gent que fa servir gmail o hotmail i per tant el seu compte de correu podria veure’s amenaçat).

Comproveu-ho vosaltres mateixos, aneu a la carpeta .purple:

cd ~/.purple/
nano accounts.xml

Allà podreu veure el vostre nom d’usuari i després la contrasenya (entre les etiquetes password). Això és un problema realment greu i l’única solució per ara sembla que serà passar-nos a l’empathy directament (que és el que serà el client per defecte a moltes distribucions a partir dels propers mesos).

La qüestió és que això porta probablement anys sent així (i sembla que alguns en tenien coneixement). Amb el Windows passa el mateix, el fitxer accounts.xml pot trobar-se a:

C:/Documents and Settings/nombre_usuario/Datos de programa/.purple/accounts.xml

De fet, sembla que existeix una explicació pròpia dels desenvolupadors de Pidgin i els mateixos defenen que fins i tot programes com el Google Talk o Windows Live Messenger no proveeixen cap tipus de seguretat amb les contrasenyes. Bàsicament diuen que és més segur fer servir això perquè així l’usuari anirà amb més cura a l’hora de treballar amb les seues contrasenyes.

Llavors, podem dir o no que és un forat de seguretat?. Segons els desenvolupadors, no.

    • Aljullu on 22 de setembre de 2009 at 20:38

    Reply

    Espero que ho arreglin aviat, però és que l’Empathy a mi no m’agrada gens. Però és que gens!

    • Roger on 22 de setembre de 2009 at 20:57

    Reply

    Es força greu la veritat…

    • Alex on 22 de setembre de 2009 at 21:20

    Reply

    Forat de seguretat???

    No és nou. Tothom ho sabia ara fa tres o quatre anys, quan el Pidgin es deia d’una altre manera.

    I hi han molt més programes que fan aixó. L’altre dia em vaig trobar que el client de ftp Filezilla també guarda les contrassenyes dels llocs ftp en text clar. Proveu-ho.

    • PellRoja on 23 de setembre de 2009 at 17:35

    Reply

    Si feu un ls -lia l’arxiu es propietat nostre i només tenim permisos nosaltres.

    • M4gici4n on 24 de setembre de 2009 at 11:33

    Reply

    Correcte. Tal com molt bé apunta Alex, el fitxer només té accés de lectura pel nostre usuari, així que només algú altre podria llegir-lo si té accés físic a la pròpia màquina (live cd, etc.)
    El problema és una mica més greu al sistema Windows, on crec que la carpeta on es guarda el fitxer xml és visible per tothom… però bé, a mi no m’afecta massa perquè no faig servir aquests sistema 😀
    De totes maneres tranquils, no passa res, té dues solucions ben fàcils.
    1.- Xifrar parcial o íntegrament la partició /home (hi ha distribucions com la propera Ubuntu o Fedora que ja ho fan per defecte)
    2.- No guardar MAI la contrasenya, i sempre posar-la a ma en el moment que la demana.

    Sincerament crec que la segona opció és la millor, no ja per pidgin, si no per qualsevol aplicació i/o sistema.
    Una clau guardada en qualsevol lloc, per molt ben encriptada que estigui, sempre podrà ser vulnerada. Per tant la millor manera de protegir-la és no guardar-la enlloc.

    Salutacions!

Deixa un comentari

Your email address will not be published.