#18 Pero es que sí que hay un problema existente, aunque no para los usuarios: cada vez hay más bloqueadores de anuncios y Google pierde dinero si no los ves. ¿Qué mejor forma de forzarte a la publicidad que implementar un protocolo que te obliga a tener todo el contenido (incluyendo anuncios y demás contenido adicional -mientras sigas viendo publicidad, el malware no es un problema para ellos-) en un único bundle para navegar? Además, con la cuota de mercado que tienen (tanto de navegador como de productos como el buscador, youtube o el correo), pueden anunciar que la tasa de adopción es inmensa y que es todo un éxito. Firefox ha denunciado varias veces que Google hacía cambios para que youtube se viese mal en otros navegadores para forzar la conversión a chrome. Al final conseguirán que otros tengan que implementar su protocolo so pena de que no puedas usar los servicios a los que te han acostumbrado y finalmente tendremos publicidad obligatoria casi como en aquel episodio de Black Mirror.
#57 Hace 2 años publicaron ya un artículo sobre esa misma botella y los comentarios sobre lo magufos que han sido esta otra vez cuando se ha demostrado que era una estafa inviable les habrán hecho borrar el artículo por vergüenza.
#38 El título de la noticia y la descripción hablan de la censura del post en los foros de Movistar, mientras que la noticia enlazada es el post para reclamar en la CNC en Banda Ancha, pero ni siquiera en los comentarios de BA dicen nada de que se hubiese borrado la noticia en los foros de Movistar. De ahí que a mi sí me parezca más microblogging que duplicada.
He visto muchas noticias antes que se han editado para poner links después de caídas o incluso borrados (la censura no es nueva).
Sinceramente me esperaba encontrar aunque fuese un post en blogspot de diez líneas comentando la cantidad de veces que se ha borrado el post en los foros de Movistar (ya lo decían en la propia noticia), pero no los foros de Banda Ancha con la misma noticia que ya había leído esta tarde.
#4 Ningún navegador almacena las contraseñas si no se lo indicas. Por tanto, que se sincronice una contraseña con Google depende de una acción manual siempre.
#64 Como ya dije en #47, "utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad", ya que el control de las CA pasaría del usuario del dispositivo al desarrollador.
No obstante la situación actual de la aplicación no es ni mucho menos como para dedicarle un post alarmista en el que no se explica claramente los requisitos previos (instalar una CA autofirmada en iOS, lo cual es un acto que pide confirmación y saltan advertencias de seguridad, y si es un móvil de empresa NO deja instalarla) y se tergiversa la realidad (texto plano es cuando NO hay SSL y en las capturas se aprecian siempre URL con https, y en ningún momento se indica que sin el requisito previo la aplicación NO envía ni un sólo dato)
#59 He decidido hacer una prueba de concepto para ver si verdaderamente es como dice el autor del artículo.
Con un proxy interceptando SSL y una CA autofirmada, da error al iniciar la conexión SSL y no deja continuar.
Levantando un servidor suplantando el del BVVA y realizando DNS spoofing, el mismo comportamiento.
Conclusión: si no añades CA al móvil, la aplicación no te deja continuar ni envía un sólo dato.
Para mi gusto, igual de segura que cualquier navegador de cualquier dispositivo.
#50 Según el texto del artículo "ya que el usuario ha podido instalar en su teléfono móvil el certificado del atacante así que todas las comunicaciones quedarían expuestas".
Sobre #21, no dice que no haya añadido estos certificados autofirmados manualmente a través de los ajustes de iOS, sólo "que se están fiando de un CA que no es el suyo".
#40 Para que eso funcionase, también necesitaría añadir una CA propia a tu teléfono, y no sólo "compremetería" la aplicación del BBVA, sino todo el tráfico de tu navegador, el correo y muchas otras aplicaciones (facebook, twitter, etc)... Que no es una vulnerabilidad "exclusiva" de la aplicación, si no de todo el dispositivo.
No voy a negar que utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad (el SSL Pinning es una exageración con muy poca visión de futuro), pero confiar en el almacén de CA del teléfono no es una vulnerabilidad en sí ni mala seguridad, como mucho un exceso de confianza.
A ver, no seamos alarmistas. Si en el navegador de tu PC te meten una CA de un "hacker" estás igual de jodido o peor.
Y sobre lo de cifrar con AES los datos... ya van cifrados así! El SSL usa AES desde hace años como principal algoritmo. Cifrar de nuevo los datos sólo traslada el problema a cómo almacenas esa segunda contraseña para el AES adicional y cómo se gestiona en caso de reinstalar la aplicación.
Y en cuanto a meterse con los programadores (#10 : Malos programadores detrás de la plataforma) me parece absurdo y de mal gusto: el programador debe ajustarse a las especificaciones que le piden. Muy posiblemente hubiese dos (o más) equipos, uno para la App móvil y otro para el servidor y se decidiese comunicar ambos de una manera concreta (xml + https o cualquier otra variante).
No echemos las culpas del diseño a un programador...
#44 NuTTyX 