Muy buenas a todos,

hace unos dias audité la seguridad en Tapatalk y pude comprobar que las credenciales son enviadas en plano y encodeadas en Base64. No sé si alguno más de vosotros utiliza Tapatalk para conectarse al foro, ¿existe la posibilidad de forzar el tráfico del foro por SSL/TLS en Tapatalk? Sé que otros foros si usan SSL en las conexiones por Tapatalk así que supongo que se podrá adaptar, corregidme si meto la pata

Por lo demás, si quereis estar protegidos en entornos Wi-Fi usad una conexión VPN que cifre vuestro tráfico para que los posibles atacantes no puedan acceder a tu información sensible, sea cual sea.

Saludos!

No estamos usando la última versión de tapatalk porque quité algunas cosas del molesto "smart banner", de todas maneras voy a mirar si poniendo en la url https se arregla.

¡Confirmado! Tapatalk es de risa.

Si quereis navegar por SSL/TLS teneís que borrar la cache de Tapatalk para que use HTTPS ya que se trata de un cambio reciente, sino seguireís por HTTP y en plano se lo dejaís en bandeja a los kiddies.

Tapatalk no verifica si el certificado es legítimo (firmado por una root CA) por lo que podemos dumpear todas las conexiones TLS así como las credenciales de Tapatalk (user, cuantos foros ocupas, si tienes twitter, datos sensibles como nacimiento, género, nombre de pila etc....) y credenciales de cualquier foro (depende de la config), tokens de sesión, cookies de sesión de foros permanentes, mensajes privados y lo que se os ocurra.

Dependiendo de la config del foro se usa una autenticación por Tapatalk o por credencial del propio foro, pero nos da igual porque si tenemos las cooks podemos suplantar libremente.

No puedo postear las imagenes porque me sería imposible filtrarlas ya que la información es abundante, pero os dejo una prueba.



RECOMIENDACIONES: No utilizar Tapatalk en zonas Wi-Fi públicas, en caso de hacerlo siempre bajo una VPN que sea administrada por un cliente seguro.

P.D = Acabo de reportar el bug.

Saludos.