Pidgin almacena las contraseñas en texto plano

Publicado por el 23 Sep 2009
en   9 Comentarios

Si eres de los que usan Pidgin como cliente de mensajería, y más aún, si eres de los que deja guardadas las contraseñas de sus cuentas en este programa, debes saber que éstas son almacenadas sin ninguna seguridad en un fichero de texto plano.

Concretamente, puedes encontrar el fichero donde Pidgin almacena toda la información de las cuentas, incluidas las contraseñas, en /home/david/.purple/accounts.xml

¿Un fallo de seguridad? Ésto no es nada nuevo, y la gente de Pidgin lo explica así:

La mensajería instantánea no es muy segura, y no tiene sentido perder mucho tiempo agregando protecciones a las fuertes protecciones de ficheros de UNIX (nuestra plataforma nativa) cuando los protocolos no son tan seguros. La forma de saber realmente con quién estás hablando es usar un plugin de encriptación en ambos extremos (como OTR o pidgin-encryption), y usar llaves GPG verificadas. En segundo lugar, no debes utilizar tu contraseña de mensajería instantánea para nada más. Mientras algunos protocolos tienen una seguridad de contraseñas decente, otros la tienen insuficiente, y algunos (como IRC) no la tienen de ningún tipo.

Personalmente, creo que ésto no es motivo para dejar las contraseñas al alcance de cualquiera como texto plano. Y cuando menos, es importante conocer la situación, y que cada uno decida qué hacer al respecto con su seguridad.

Referencias: hacking-avanzado.blogspot.com

#

9 comentarios

  1. BritishSteel

    23 septiembre 2009

    Alguno sabéis si en empathy pasa lo mismo?

    Responder

  2. Pidgin almacena las contraseñas en texto plano…

    Si eres de los que usan Pidgin como cliente de mensajería, y más aún, si eres de los que deja guardadas las contraseñas de sus cuentas en este programa, debes saber que éstas son almacenadas sin ninguna seguridad en un fichero de texto plano….

    Responder

  3. Y los otros clientes de mensajería?
    seria tan simple como revisar el código e implementarlo.
    me parece que este problema parte por la decisión de los que dirigen el proyecto

    Responder

  4. solo una expresión se me viene a la cabeza… ésta -> :S

    y muchos :S :S :S :S

    o sea, no hay métodos de encriptar por lo menos la clave????????? no lo creo…

    Responder

  5. Yo lo uso tambien en Winbugs y lo mismo. He decidido quitar el recordatorio de la clave. Opino lo que Antonio en lo de encriptar la contraseña. Ademas, ¿no es una contraseña la forma de saber que nadie mas que tu tiene acceso a algo que es tuyo? imaginate si arranca el programa alguien o algo (un malware) que no eres tu!

    Responder

  6. Gracias por el dato y me resulta increíble la explicación, tan simple como tomar el xml para robar una contraseña, yo no lo tenía tan grabe por que entro con una cuenta passport a Live, pero el hecho de que esto afecte a los que si entran con cuentas de Hotmail, francamente me plantea dejar Pidgin

    Responder

  7. Bueno, pésima justificación. La gran mayoría usa el protocolo de live messenger o sea por hotmail, o sea la contraseña es la misma que la de una cuenta de correo, que la de skydrive, live mesh, etc.
    Esto va a ser un golpe muy duro si no cambian cuanto antes. O Pidgin será historia.

    Responder

  8. Agrego: más teniendo en cuenta la filtración de contraseñas de estos días tener un agujero más aún… muy malo.

    Responder

  9. Jo | Hacer una Pagina

    21 enero 2011

    Excelente!

    Por eso uso una cuenta de mensajeria instantanea que si es hackeada la destruyo y ya.

    Saludos.

    Joaquin

    Responder