Esta semana tenho sido bombardeado com anúncios da nova aplicação da Emel a epark, esta aplicação destina-se a substituir o pagamento com moedas dos parquímetros por uma aplicação no telemóvel.

Confesso que o conceito é bom e que me vai dar muito jeito para não ter de sair do dentista a meio de uma desvitalização de um dente, para por moeda no parquímetro.

O funcionamento da aplicação é muito simples, carregamos um saldo através do pagamento de uma referência multibanco e a partir dai dizemos onde, o tempo e a matricula da viatura que queremos estacionar, podendo inclusive consultar o histórico de estacionamentos

Com tanta publicidade decidi experimentar, fui à loja da Google e instalei a app, no entanto como sou um curioso da segurança informática decidi, antes de fazer qualquer coisa na aplicação, analisar que comunicações a mesma faria e de que forma.

Os passos seguidos foram:

Iniciar a captura de pacotes na minha rede entre o telemóvel e a internet Descarregar a app da Play Store Proceder ao registo de utilizador ( escolher a password “emelefixe” ) Aceitar os termos e condições Navegar nos menus da app Sair da aplicação Analisar os pacotes de rede entretanto capturados.

Qual não é o meu espanto quando vejo isto:

A minha password-super-segura-que-ninguem-vai-adivinhar estava ali para toda a gente ver , bem quase toda , pelo menos 99% dos geeks !

Mas pode ser um acaso e existir mesmo encriptação na comunicação...

Lamento mas não existe mesmo, isso é demonstrado ver na figura acima , tudo passa pela porta 80 sem cifras

Ou seja a comunicação nunca é cifrada e apresenta-se num belo clear text, todas as minhas informações eram susceptíveis de ser facilmente interceptadas por alguém na mesma rede que eu.

Mas esperem lá de certeza que a Emel protege os seus clientes…Nem por isso, nos termos de aceitação do serviço somos brindados com isto:

Ou seja, um completo descartar de responsabilidades mesmo que a aplicação não use uma comunicação encriptada entre o telemóvel e os servidores da Emel.

Mas então isto não será difícil ? Difícil ou impossível como o belenenses ganhar o campeonato este ano ?

Não , é extremamente fácil reverter esta situação basta usar no código da app o sslsocket ou seja não dá trabalho! Do ponto de vista de quem desenvolveu a aplicação isto deveria ser um requisito básico .

Authenticated, encrypted socket-level communication can be easily implemented using the class. Given the frequency with which Android devices connect to unsecured wireless networks using Wi-Fi, the use of secure networking is strongly encouraged for all applications that communicate over the network.

Esta situação reflecte bem o que se passa nos país, a Emel tem orçamento para fazer uma boa aplicação, tem orçamento para muita publicidade mas não tem orçamento para contratar alguém da área de segurança informática que lhe diga que o básico dos básicos é cifrar as comunicações.

Depois temos o problema da protecção de dados, da pesquisa que fiz no site na Comissão Nacional de Protecção de dados não existe nenhuma autorização para esta aplicação, o que pode ser bastante perigoso dados que estamos a falar de muitos dados pessoais associados a geo localização mas isso fica para outro artigo…..

Concluindo, acho um bom projecto mas com falhas tremendas a nível de implementação da segurança , espero sinceramente que a Emel faça rapidamente as correcções que não são assim tão complicadas de fazer.

Eu gostava de usar a app mas não o vou fazer preocupo-me demasiado com os meus dados e acho que vou continuar a usar moedas ou a chatear os senhores da pastelaria para me arranjarem trocos !

Versão testada : 2.0.48 em Android 5.0.1

************* Actualização a 28/02/2015 às 14h39 ***************

A Emel procedeu à actualização da aplicação para a versão 2.0.49, o problema deixou de existir.

Fui informado directamente pela Emel que a questão tinha a ver somente com a versão Android e que em IOS e Windows o mesmo não acontecia.

Tendo em conta o tempo entre a descoberta do problema e a resolução do mesmo passaram menos de 36 horas, aliado ao facto da correcção ter sido feita a um domingo tenho de dar os parabéns à EMEL pelo reconhecimento da falha e imediata correcção.

Fontes :