Segundo o Gareth Wright as aplicações para iOS do Facebook e Dropbox têm falhas de segurança graves, que permitem a qualquer pessoa aceder à nossa conta. Embora só os Facebook e Dropbox sejam mencionados, é bem provável que outras aplicações tenham a mesma falha. Isto porque as aplicações guardam a nossa chave de autenticação e password em texto, tornando o fácil descobrir esses dados a quem tiver acesso ao nosso iDevice.
Se o nosso iDevice for roubado e se alguém entrar no diretório da aplicação, usando por exemplo o iExplorer, facilmente descobre um ficheiro chamado com.Facebook.plist, onde está guardada a nossa password.
Popping into the Facebook application directory I quickly discovered a whole bunch of cached images and the com.Facebook.plist. What was contained within was shocking. Not an access token but full oAuth key and secret in plain text. Surely though, these are encrypted or salted with the device ID. Worryingly the expiry in the plist is set to 1 Jan 4001!
O TNW tentou obter respostas junto do Facebook e a resposta apanhou alguns de surpresa, já que a rede social culpa o jailbreak pela falha de segurança. Segundo o Facebook a sua aplicação para iOS e Android é para ser usada em Sistemas Operativos (SO) que sejam fornecidos pelos fabricantes originais, já que o acesso feito ao ficheiro em causa só pode ser feito em SO que estejam modificados (jailbreak). O Facebook avisa ainda que a própria Apple diz que fazer modificações não autorizadas no iOS pode permitir o acesso às nossas informações por parte de hackers.
Contudo nada disto podia estar mais errado. No próprio TNW experimentaram o acesso ao ficheiro, usando o iExplorer num iPhone sem jailbreak, e verificaram que a vulnerabilidade se mantinha. E foi neste teste que verificaram que a aplicação do Dropbox tem o mesmo problema, sendo então provável que outras o tenham também. A solução é fácil, não percam o vosso iDevice e tenham a certeza que não usam terminais públicos onde um script pode ser usado para ter acesso aos ficheiros .plists.
Post em discussão no nosso Fórum.
(Escrito ao abrigo do novo Acordo Ortográfico)
Segue-nos também nas nossas páginas nas redes sociais:
Google+
Sem comentários:
Enviar um comentário