▲
A Proton, empresa conhecida por valorizar a privacidade de dados de seus clientes, lançou recentemente seu próprio aplicativo de autenticação em dois fatores. O novo Autenticador da Proton, disponível para Windows, macOS, Linux, Android e iOS, enfrentou um problema inesperado no último final de semana. Uma falha de segurança foi identificada na versão para iOS, gerando preocupação entre os usuários. Esta questão levantou discussões sobre a proteção de códigos de acesso essenciais.
Na semana passada, a Proton disponibilizou seu aplicativo de autenticação em dois fatores. Esse lançamento foi muito bem recebido por quem se preocupa com segurança digital, já que a empresa é popular por focar na privacidade de dados dos usuários. O aplicativo chegou para diversos sistemas operacionais, incluindo Windows, macOS, Linux, Android e iOS.
Contudo, a estreia do aplicativo encontrou um problema sério no último final de semana. Uma publicação, já deletada, no Reddit apontou uma falha significativa na versão feita para os celulares da Apple. O autor da postagem detalhou o que aconteceu com os dados.
De acordo com o usuário, o aplicativo para iOS deixava as Senhas de Uso Único Baseadas em Tempo (TOTPs) expostas em um arquivo de texto simples. Isso significa que, se esses registros fossem acessados, os códigos de autenticação dos usuários poderiam ser vistos por pessoas não autorizadas. Estes códigos são cruciais para a segurança, pois são a segunda camada de proteção.
Como a falha no Autenticador da Proton foi descoberta?
A falha no aplicativo de autenticação da Proton foi encontrada por acaso. O usuário do Reddit, conhecido como Derperderpington, descobriu o problema enquanto tentava relatar um pequeno erro no histórico de uso do aplicativo, algo que não estava relacionado à segurança. Esse pequeno bug acabou levando a uma descoberta maior.
Ao tentar comunicar o erro para a Proton, ele se deparou com algo mais grave. “Acontece que o registro de erros [gerado pelo aplicativo] contém segredos completos do TOTP em texto simples,” ele explicou, “Sim, incluindo o da minha conta Bitwarden.” Essa informação destacou a seriedade do vazamento.
Depois disso, outros usuários e comentaristas identificaram o motivo da falha na versão para iOS do Autenticador da Proton. A programação do aplicativo estava adicionando informações das senhas temporárias a uma variável de parâmetros internos. Esses dados eram então direcionados para funções que atualizam ou inserem as senhas no aplicativo.
Durante esse processo, as mesmas funções que lidavam com as senhas também as enviavam para o registro de erros, o que causava o “vazamento” em texto simples. Assim que o problema foi amplamente divulgado e ganhou repercussão, a Proton rapidamente confirmou a falha na versão iOS. A correção para esse problema já está disponível na versão 1.1.1 do aplicativo. Nenhuma outra versão do aplicativo foi afetada por esse caso de exposição de dados.
Qual o risco para os usuários?
A Proton esclareceu ao BleepingComputer que as senhas temporárias geradas pelo aplicativo nunca são enviadas aos servidores em formato de texto simples. A empresa enfatiza que todos os dados são sempre criptografados de ponta a ponta, garantindo uma camada adicional de proteção durante a transmissão. Além disso, a Proton reforçou que os registros gerados são armazenados apenas localmente no dispositivo do usuário.
A empresa também explicou que a Regulamentação Geral sobre a Proteção de Dados da Europa (GDPR) exige que as senhas geradas possam ser exportadas localmente para os dispositivos. Isso é uma medida para dar controle aos usuários sobre seus próprios dados de segurança. “Mesmo se [as senhas] não estivessem nos registros, alguém com acesso ao seu dispositivo ainda conseguiria obtê-las,” a empresa afirmou, destacando a importância da segurança física do aparelho.
A Proton reiterou que sua criptografia não consegue proteger dispositivos que já estão comprometidos localmente por ameaças. Isso inclui cenários como um RAT (Remote Access Trojan) ou acesso físico legítimo ao aparelho por outra pessoa. “Você deve sempre proteger [fisicamente] seu dispositivo, pois isso está fora do nosso modelo de ameaças,” a Proton explicou, ressaltando que a segurança primária do dispositivo é responsabilidade do usuário.
Manter seu sistema operacional atualizado é crucial para evitar vulnerabilidades. Por exemplo, as principais novidades do iOS 26 Beta 5 incluem melhorias que podem fortalecer a segurança do sistema. Da mesma forma, atualizações de segurança para Android são essenciais para proteger seu aparelho contra ameaças diárias. Fique sempre atento às notícias sobre falhas de segurança para estar um passo à frente.
É bom saber que a comunidade de tecnologia está sempre ativa. Uma competição internacional oferecendo recompensa por falhas no WhatsApp, por exemplo, mostra como se incentiva a descoberta de problemas. Além disso, é sempre bom verificar o suporte ao software do seu aparelho, pois alguns celulares Samsung populares deixam de receber atualizações, o que pode impactar a proteção a longo prazo. Fique de olho também em falhas de segurança críticas em bibliotecas de aplicativos que são descobertas.
Para manter-se seguro no ambiente digital, a vigilância constante é essencial. A postura da Proton em corrigir rapidamente a falha mostra a importância de empresas que priorizam a privacidade e a segurança, mesmo com a complexidade de desenvolver aplicativos para múltiplos sistemas. Isso nos lembra de que a colaboração da comunidade, como visto no Reddit, e a resposta ágil dos desenvolvedores são fundamentais para um ecossistema digital mais seguro. Proteger seu dispositivo fisicamente continua sendo a primeira linha de defesa contra muitos tipos de acesso não autorizado.
Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.
