Acompanhe:

Clone do Snapchat, app Puffchat vem cheio de brechas

Endereços de e-mail, senhas e datas de nascimento são enviados aos servidores “seguros” do aplicativo pelo protocolo HTTP, e não por HTTPS, por exemplo

Modo escuro

Continua após a publicidade
Puffchat: especialista em segurança britânico descobriu que o app não chega a apagar nada do que é enviado e é cheio de brechas (Reprodução)

Puffchat: especialista em segurança britânico descobriu que o app não chega a apagar nada do que é enviado e é cheio de brechas (Reprodução)

G
Gustavo Gusmão

Publicado em 8 de abril de 2015 às, 16h02.

Lançado em novembro, o aplicativo Puffchat surgiu na App Store e na Play Store prometendo ser uma alternativa segura ao Snapchat.

Mas um especialista em segurança britânico descobriu que a história é bem diferente: o app não chega a apagar nada do que é enviado e é cheio de brechas, que permitem a um invasor inclusive tomar posse das contas.

Thomas Hedderwick relatou todas as brechas em um post em seu blog, e mostrou que o Puffchat gerencia dados de usuários de forma errada já no momento do cadastro.

Endereços de e-mail, senhas e datas de nascimento são enviados aos servidores “seguros” do aplicativo pelo protocolo HTTP, e não por HTTPS, por exemplo.

Essas informações ainda ficam expostas na API hospedada no site do aplicativo, e uma busca no código, segundo Hedderwick, traria nome de usuário, data de aniversário e e-mail usado.

Graças a essa exposição, é possível fazer praticamente de tudo, em qualquer conta, pela API do aplicativo.

O especialista chegou a se adicionar com a conta do CEO da companhia, Michael Suppo, por exemplo, e ainda conseguiu enviar mensagens e fotos.

Hedderwick também descobriu pelo código que as fotos e mensagens não são apagadas de verdade. Ou seja, o Puffchat não chega a cumprir nem sua premissa básica: “[O conteúdo] é baixado no seu telefone toda vez que você solicita suas mensagens, o cliente apenas não as mostra para você”, escreveu. As fotos, inclusive as que trazem material explícito, podem até ser acessadas no site da startup.

No mesmo post em seu blog, o especialista britânico afirmou ter entrado em contato com os responsáveis pelo Puffchat de diferentes formas, mas em todas as ocasiões acabou ignorado. Resolveu, então, publicar o texto para alertar os usuários.

A resposta do CEO da startup não foi das mais educadas, no entanto. Apesar de ter prometido consertar todas as falhas mostradas por Hedderwick, Suppo também ameaçou processá-lo caso não removesse todas as postagens feitas sobre o aplicativo.

Tudo porque a empresa “leva a segurança dos usuários muito a sério” – mas aparentemente não o suficiente para implementar medidas básicas antes de lançar o programa no mercado.

Últimas Notícias

Ver mais
Google terá novo centro de engenharia em São Paulo
Tecnologia

Google terá novo centro de engenharia em São Paulo

Há 19 horas

Google vai começar a produzir smartphone Pixel na Índia no próximo trimestre
Tecnologia

Google vai começar a produzir smartphone Pixel na Índia no próximo trimestre

Há 20 horas

Nvidia cresceu tanto que tornou-se quase 'invencível'
Tecnologia

Nvidia cresceu tanto que tornou-se quase 'invencível'

Há 20 horas

Sem aplicativos e guiado por IA: conheça o T Phone
Tecnologia

Sem aplicativos e guiado por IA: conheça o T Phone

Há um dia

Continua após a publicidade
icon

Branded contents

Ver mais

Conteúdos de marca produzidos pelo time de EXAME Solutions

Exame.com

Acompanhe as últimas notícias e atualizações, aqui na Exame.

Leia mais