Výzkumník zabezpečení objevil závažnou chybu v aplikacích Facebook a Dropbox pro Android i iOS, která ohrožuje všechna vaše citlivá osobní data.
Kdokoli s přístupem k vašemu zařízení může k načtení použít bezplatný software, který je snadno dostupný na internetu nešifrovaný, prostý textový soubor z vašeho zařízení, který poskytuje přístup k celému vašemu účtu - bez nutnosti útěk z vězení.
Gareth Wright podrobně popsal problém v příspěvku na jeho blogu 3. dubna Původně byl zaměřen na aplikaci Facebook, ale Další web hlásí, že chyba je také v aplikaci Dropbox.
Facebook od té doby vydal prohlášení, že popírá, že by na akciových zařízeních byl jakýkoli problém:
Aplikace Facebook a iOS pro Android jsou určeny pouze pro použití s operačním systémem poskytovaným výrobcem a přístupové tokeny jsou pouze zranitelní, pokud upravili svůj mobilní operační systém (tj. jailbroken iOS nebo upravený Android) nebo udělili škodlivému herci přístup k fyzickému přístroj.
Vyvíjíme a testujeme naši aplikaci na nemodifikované verzi mobilních operačních systémů a spoléháme na nativní verzi ochrany jako základ pro vývoj, nasazení a zabezpečení, to vše je kompromitováno na jailbroken přístroj.
Facebook se ale mýlí. S bezplatnou aplikací s názvem iExplore, uživatelé mohou na svém zařízení přistupovat ke všem druhům souborů, aniž by jej nejprve museli jailbreaknout. To umožňuje extrahovat soubor .plist obsahující všechny vaše osobní údaje. Je to ve formátu prostého textu a není to nijak šifrováno ani zabezpečeno, takže to může otevřít kdokoli.
Facebook má však pravdu, když říká, že „škodlivý aktér“ musí nejprve získat fyzický přístup k vašemu zařízení. Není tedy třeba se obávat odcizení vašich dat, když máte telefon v držení. Ale pokud dojde ke ztrátě nebo odcizení, pak je důvod k obavám.
Problém není v samotném systému Android nebo iOS; je to s těmito aplikacemi, které se rozhodnou nešifrovat vaše data. Je tedy na Facebooku a Dropboxu, aby problém vyřešili. Mohou tam být i další, ale toto jsou zatím jediné dva, u kterých byla zjištěna tato zranitelnost.
Při těchto aktualizacích mějte oči odloupnuté.
AKTUALIZACE: Dropbox nyní také hovořil o tomto problému a tvrdí, že jeho aplikace pro Android není tímto problémem ohrožena a že jeho aplikace pro iOS bude brzy aktualizována:
Aplikace Dropbox pro Android není ovlivněna, protože ukládá přístupové tokeny na chráněném místě. V současné době aktualizujeme naši aplikaci pro iOS, abychom udělali totéž. Upozorňujeme, že daný útok vyžaduje, aby škodlivý aktér měl fyzický přístup k zařízení uživatele. V takové situaci je uživatel náchylný ke všem druhům hrozeb, proto důrazně doporučujeme zabezpečit zařízení.