اكتشف باحث أمني خللًا خطيرًا في تطبيقات Facebook و Dropbox لكل من Android و iOS مما يعرض جميع بياناتك الشخصية الحساسة للخطر.
يمكن لأي شخص لديه إمكانية الوصول إلى جهازك استخدام برنامج مجاني متاح بسهولة على الإنترنت لاسترداد ملف ملف نصي عادي غير مشفر من جهازك يتيح الوصول إلى حسابك بالكامل - دون الحاجة إلى كسر الحماية.
قام غاريث رايت بتفصيل المشكلة في منشور على مدونته في 3 أبريل. كان يركز في البداية على تطبيق Facebook ، لكن الويب التالي تفيد بأن الخلل موجود أيضًا في تطبيق Dropbox.
أصدر Facebook منذ ذلك الحين بيانًا ينفي وجود أي مشكلة في الأجهزة المخزنة:
تطبيقات Facebook على iOS و Android مخصصة فقط للاستخدام مع نظام التشغيل المقدم من الشركة المصنعة ، ورموز الوصول هي فقط ضعيف إذا قاموا بتعديل نظام تشغيل الهاتف المحمول الخاص بهم (مثل نظام التشغيل iOS أو Android المعدل) أو منحوا فاعلًا ضارًا الوصول إلى جهاز.
نقوم بتطوير واختبار تطبيقنا على إصدار غير معدل من أنظمة تشغيل الأجهزة المحمولة ونعتمد على النسخة الأصلية الحماية كأساس للتطوير والنشر والأمن ، وكلها معرضة للخطر عند كسر الحماية جهاز.
لكن الفيسبوك خاطئ. مع تطبيق مجاني يسمى
iExplore، يمكن للمستخدمين الوصول إلى جميع أنواع الملفات الموجودة على أجهزتهم دون كسر الحماية أولاً. يسمح هذا لاستخراج .plist الذي يحتوي على جميع بياناتك الشخصية. إنه بتنسيق نص عادي وغير مشفر أو مؤمن بأي شكل من الأشكال ، بحيث يمكن لأي شخص فتحه.ومع ذلك ، فإن Facebook على صواب عندما يقول إن "الفاعل الضار" يجب أن يحصل على وصول مادي إلى جهازك أولاً. لذلك لا داعي للقلق بشأن سرقة بياناتك أثناء حيازتك لهاتفك. ولكن إذا فُقد أو سُرق ، فهناك ما يدعو للقلق.
المشكلة ليست مع Android أو iOS أنفسهم ؛ إنها مع هذه التطبيقات التي تختار عدم تشفير بياناتك. لذا فالأمر متروك لـ Facebook و Dropbox لإصلاح المشكلة. قد يكون هناك آخرون هناك أيضًا ، لكن هذين هما الوحيدان اللذان تم اكتشافهما حتى الآن لإبراز هذه الثغرة الأمنية.
ابق عينيك مقشرتين لتلك التحديثات.
تحديث: تحدث Dropbox الآن أيضًا عن هذه المشكلة ، مدعيا أن تطبيق Android الخاص به ليس في خطر من هذه المشكلة ، وأنه سيتم تحديث تطبيق iOS الخاص به قريبًا:
لا يتأثر تطبيق Android من Dropbox لأنه يخزن رموز الوصول في موقع محمي. نقوم حاليًا بتحديث تطبيق iOS الخاص بنا للقيام بنفس الشيء. نلاحظ أن الهجوم المعني يتطلب من جهة فاعلة ضارة الوصول الفعلي إلى جهاز المستخدم. في مثل هذه الحالة ، يكون المستخدم عرضة لجميع أنواع التهديدات ، لذلك ننصح بشدة بحماية الأجهزة.