martes, 19 de octubre de 1999

Contraseñas al descubierto en PowWow

PowWow es una utilidad de comunicación y mensajería personal a
través de Internet, similar a ICQ o AOL Instant Messenger. Se han
detectado varias vulnerabilidades que pueden facilitar la obtención
de las contraseñas de los usuarios de este servicio.
Desarrollado por Tribal Voice para entornos Windows, PowPow integra
las ya típicas soluciones de comunicación por Internet, como son
entre otras el chat, mensajes, pizarras compartidas, envío de
ficheros o juegos. Destaca en esta utilidad la integración de la
voz, que permite la comunicación a través de mensajes y charla en
tiempo real.

Los problemas comienzan cuando el nombre de usuario y la contraseña
se almacenan en texto claro en el fichero c:\windows\powwow.ini
bajo Windows 95/98 y c:\winnt\powwow.ini en NT.

La segunda vulnerabilidad es debida a la forma en la este servicio
identifica a los usuarios en diversas operaciones, mediante el envío
de la contraseña en texto plano a través de una URL. Un hipotético
atacante podría obtenerla al visualizar la barra de direcciones en
el momento de la autentificación o más tarde a través del histórico
de visitas del navegador.

Por último, Trival Voice ofrece también un servicio de correo
gratuito, accesible a través de web. Durante el proceso de
autentificación la contraseña del usuario es visualizada en la
página web, por lo que queda al alcance de cualquiera que tenga
acceso al caché del navegador.

Más información:
Tribial Voice
PowWow
Tribal Voice PowWow Password Vulnerabilities



Bernardo Quintero