Falla Seguridad Pidgin [Texto Plano]
Hola 
Junto con saludarlos y desearles feliz año nuevo Quiero mostrarles una falla de seguridad, que describri hace 2 semanas, y sirve para hackear MSN, Yahoo!, Gadu Gadu, Facebook, Skype, Gmail… Podria seguir son muchos los protocolos en los cuales esta manera de hackearlos es efectiva, esto lo descubri un dia que quise reparar pidgin y me tope con esta tremenda falla de seguridad, lo unico que en cuanto al Skype hay una siguiente limitancia, asi que no abordaremos Skype en este tutorial (aun que Skype tambien presenta la misma falla solo me falta decodificar el password) Esto es para el programa Pidgin, disponible en Mac, Windows y Linux (creo que tambien Solaris, aun que con source code ya se asume que si) Me da algo de pena que este programa tan potente para chatear tenga esta falla tan grave En el directorio: /home/usuario/.purple/accounts.xml c:…Archivos de programaspidginaccounts.xml (El de mac se los debo 
) Encontraran estas tablas en XML
prpl-msn
tucuenta@dominio.com
Contraseña
NicknameCon todo eso ya podemos hackear cuentas de multiples protocolos… Espero que lo reparen, ya que es una falla gravisima, las passwords no estan codificadas.
Un saludo Cibort
gracias por la informacion
has reportado dicho bug?
Valorar:
0 
0
retiro la pregunta, ya lo has reportado, esto me pasa por no leer todo antes de comentar xD
esperemos que lo solucionen cuanto antes
aunque yo no lo llamaria bug, ya que parece que fue programado de tal forma que deja el pass en ese xml
Valorar:
0 
0
Exacto, yo pienso igual, fue programado asi.
Pero es una brecha en la seguridad del programa.
Te dejo el ticket en la pagina de pidgin:
http://developer.pidgin.im/ticket/13151
Ahi les explique a groso modo el tema (aun que es muy claro, de todas maneras) y un link a mi blog
Por si te interesa http://zaybort.linuxerz.org/
Valorar:
0 
0
asi parece.. bueno no es para nada seguro.
Saludos,
Valorar:
0 
0
parece ser que no lo van a arreglar nunca
ya fue reportado hace 2 años http://developer.pidgin.im/ticket/7299
y aquí están las explicaciones de por qué hacen esta “estupidez”
http://developer.pidgin.im/wiki/PlainTextPasswords
la única solución parece ser cambiar de cliente y olvidarse de pidgin
Valorar:
0 
0
otra opción sería no recordar contraseña en la configuración de la cuenta
una vez desactivada esta casilla, al cerrar pidgin, en el accounts.xml desaparece el password
pero cada vez que abramos pidgin pedirá pass, claro, algo un poco incomodo
Valorar:
1 
0
Claro, me acaban de responder y lei lo mismo… Yo no ocupo mas pidgin, me cambio de cliente, pesima seguridad
Valorar:
0 
0
por curiosidad, por cual te has decidido?
Valorar:
0 
0
emesene
Valorar:
0 
0
que sexy ;D
Valorar:
0 
0
si no tienen ganas de cuidarse ustedes mismos no basureen un software libre quedarían como payasos.-?¡
PD: SOLUCION =otra opción sería no recordar contraseña en la configuración de la cuenta
una vez desactivada esta casilla, al cerrar pidgin, en el accounts.xml desaparece el password
Valorar:
0 
0
Te equivocas en algo, nosotros no lo “basureamos” como dices, si no todo lo contrario, lo intentamos mejorar, y así como exaltamos las cualidades de los mismos, debemos ser honestos y decir cuando no andan bien y que cosas no nos gustan, para asi contribuir a que las futuras versiones salgan mas livianas, completas, seguras y eficaces, en ni un caso echarla a perder.
Mal interpretaste las cosas.
Valorar:
1 
0
Shan shan!, es un problema de seguridad almacenar las claves ya que si alguien llega a nuestra pc, podría extraer las claves inmediatamente, si las claves estuvieran encriptadas como debería ser, nadie podría acceder tan fácilmente…
Valorar:
0 
0