domingo, abril 20, 2014

KODAK Kiosk: Sonríe y dame tu password de Facebook

El otro día pasé a por material de dibujo a una de esas tiendas fotográficas que, con el auge de la fotografía digital y la falta de ventas en el revelado de carretes, decidieron reinventarse con ella y dar todo tipo de servicios, desde las fotocopias tradicionales, hasta la creación digital de álbumes, cuadros artísticos o impresión de instantáneas sobre cualquier material. Un supermercado de la fotografía digital que además vende cartulinas, pinceles y artilugios para los retratistas del trazo a trazo.

Al entrar me tope con una fila de kioscos de la empresa KODAK, lo que me llamó la atención. Había leído en las noticas que la empresa que se hizo famosa por el papel fotográfico y la fotografía analógica había entrado en concurso de acreedores en el año 2012, pero no sabía que aún seguían funcionando. No obstante, pensé que tal vez sus kioscos, llamados KODAK Picture KIOSK, podrían estar vendidos y por tanto sin ningún tipo de soporte por parte de la casa matriz, aunque lo cierto es que no tenía ninguna información al respecto.

Con los kioscos interactivos estos siempre me ha dado un poco de respecto eso de ir metiendo tu USB o tus tarjetas por ahí, ya que hacen copias en miniaturas de tus fotografías que luego a saber en que Thumbs.db o archivo de miniaturas quedan guardadas, así que siempre he pensado que el USB que lleves a uno de esos Kioscos mejor llevarlo limpio con solo lo estrictamente necesario y después de usarlo aplicar "fuego purificador" con un formateo de esos seguro, tras montarlo en un sistema operativo arrancado desde una Live CD. Llámame cuidadoso si quieres.

Al fin y al cabo, estos kioscos están expuestos a las manos de muchos usuarios que pasan por allí, y que como os he contado muchas veces, pueden ser explotados por los mas juguetones, como el Puesto de Información Multimedia del que os hablé o el Punto de Información Turística que acabó con un David Hasselhoff. Al final, los trucos para controlar un kiosco interactivo son muchos, y hay herramientas tan conocidas como iKAT (Interactive Kiosk Attack Tool) o trucos tan sencillos como las sticky keys que permiten tomar control de la máquina en muchos casos.

Figura 1: Fotograma del vídeo promocional de Kodak Picture Kiosk

Como había algo de cola, decidí darle un repaso rápido con la mirada, y la primera opción que tenía me capturo: "Imprimir tus fotos de Facebook". En ese momento pensé que deberían modernizarse ya que parece que las fotos que la gente quiere imprimir son más las de Instagram o Pinterest, pero supuse que estos kioscos ya deberían tener unos añitos.

Entré para ver cómo quedarían las fotos de mi Facebook que tengo públicas como forma de probar el servicio, cuando me tope con la parte de conexión de la cuenta. Cuando entre me di cuenta de que no quería imprimir mis fotos públicas sino las privadas. He de decir que había entrado esperando algo como una autenticación OAuth pidiéndome desde Facebook que aprobara la conexión de la aplicación de KODAK Picture KIOSK, pero no, lo que me topé es con que el kiosco no quería una aprobación basada de acceso, sino directamente mi usuario y mi password. WTF?

Figura 2: Solicitud de Usuario y contraseña de Facebook en Kodak Picture Kiosk

Por supuesto, si ya me preocupa la gestión que se pudiera hacer de los thumbnails de mis fotos, lo de darle mi password de Facebook a un kiosco de una tienda de fotografías es algo que solo haría si de ello dependiera mi vida ... y habría que ver si la pongo a la primera o no.

Visto esto me quedé pensando en que seguramente habría mucha gente que utilizaría ese servicio aunque a mí no me entrase en la cabeza, pero me imagino a los tipos de seguridad de KODAK diciendo eso de Gandalf de "INSENSATOS", y a los de negocio diciendo "Callad al friki que no nos deja hacer negocio"

Figura 3: El aviso de los responsables de Seguridad de Kodak

El final de la historia ya os lo he contado al principio. Kodak entró en concurso de acreedores en 2012, así que los de negocio no debieron hacerlo muy bien, yo no puse mi USB y por supuesto tú no debes poner tu password de Facebook en ningún kiosco, por mucho de Kodak que sea.

Si por cualquier cosa necesitaras poner tu password en una app - repito que para algo se inventaron los sistemas OAuth para evitar esto -, puedes irte a las opciones de tu cuenta Facebook y en la parte de Seguridad generar una contraseña para una app.

Figura 4: Generación de una password para una app

Esto dará acceso a tus datos a la cuenta, pero nunca perderás el control de tu cuenta con tu contraseña maestra - que ya sabes que no es una sino tres -.

Saludos Malignos!

4 comentarios:

Jesus Figueroa (Shadow Myst) dijo...

Lo increible no es que te pida tu contraseña asi directamente, sino cuanta gente ha caido en esa trampa

Ivan Fraixedes dijo...

La figura 3 es genial, me ha costado 5 minutos levantarme del suelo de la risa que me ha entrado.

Anónimo dijo...

Estoy contigo, yo también soy bastante paranoico en ese aspecto. Un día que compré unos muebles, daban la opción de pagar a plazos sin intereses así que dí me número de cuenta a la dependienta (que me sabía de cabeza) y me dijo, "Si te quieres asegurar, puedes entrar a tu cuenta de el banco desde mi ordenador" y yo... "No, gracias. Al banco prefiero entrar solo desde el mío". Manías personales...

biteone dijo...

La gente sige siendo muy confiada y de alguna forma ignorante o simplemente no consciente de la seguridad de sus datos. Mas lejos esta se
mana delante mio en Valencia en el oceanografico justo en la tienda de la entrada hay un kioskito de estos y delante mio un tipo introdujo sus datos de cuenta facebook
Ya te digo con un teclado enorme en pantalla que se pidia ver todo lo ke estaba tecleando....
Tremendo amigos yo flipo, pero cada uno es dueño de su vida y su privacidad.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares