Ein Sicherheitsforscher hat in den Facebook- und Dropbox-Apps für Android und iOS einen schwerwiegenden Fehler entdeckt, der all Ihre sensiblen persönlichen Daten gefährdet.
Jeder, der Zugriff auf Ihr Gerät hat, kann eine kostenlose Software verwenden, die leicht im Internet verfügbar ist, um eine unverschlüsselte Nur-Text-Datei von Ihrem Gerät, die Zugriff auf Ihr gesamtes Konto bietet – ohne dass ein Jailbreak erforderlich ist.
Gareth Wright hat das Problem in einem Beitrag detailliert beschrieben auf seinem Blog am 3. April. Es konzentrierte sich zunächst auf die Facebook-App, aber Das nächste Web berichtet, dass der Fehler auch in der Dropbox-App vorhanden ist.
Facebook hat seitdem eine Erklärung abgegeben, in der es bestreitet, dass es ein Problem mit Lagergeräten gibt:
Die iOS- und Android-Anwendungen von Facebook sind nur für die Verwendung mit dem vom Hersteller bereitgestellten Betriebssystem bestimmt, und Zugriffstoken sind nur anfällig, wenn sie ihr mobiles Betriebssystem modifiziert haben (z. B. iOS mit Jailbreak oder modifiziertes Android) oder einem böswilligen Akteur Zugriff auf das physische Gerät.
Wir entwickeln und testen unsere Anwendung auf einer unveränderten Version mobiler Betriebssysteme und setzen auf die native Schutz als Grundlage für Entwicklung, Bereitstellung und Sicherheit, die alle bei einem Jailbreak kompromittiert werden Gerät.
Aber Facebook liegt falsch. Mit einer kostenlosen Anwendung namens iEntdecken, können Benutzer auf alle Arten von Dateien auf ihrem Gerät zugreifen, ohne es vorher zu jailbreaken. Dadurch kann die .plist mit all Ihren persönlichen Daten extrahiert werden. Es ist im Klartext und in keiner Weise verschlüsselt oder gesichert, sodass jeder es öffnen kann.
Facebook hat jedoch Recht, wenn es heißt, dass sich ein „böswilliger Akteur“ zuerst physischen Zugriff auf Ihr Gerät verschaffen muss. Sie müssen sich also keine Sorgen machen, dass Ihre Daten gestohlen werden, während Sie Ihr Handy besitzen. Aber wenn es verloren geht oder gestohlen wird, gibt es Grund zur Besorgnis.
Das Problem liegt nicht bei Android oder iOS selbst; Es sind diese Apps, die Ihre Daten nicht verschlüsseln. Es liegt also an Facebook und Dropbox, das Problem zu beheben. Es könnte auch andere da draußen geben, aber dies sind die einzigen beiden, bei denen diese Schwachstelle bisher gefunden wurde.
Halten Sie die Augen nach diesen Updates offen.
AKTUALISIEREN: Dropbox hat sich nun auch zu diesem Problem geäußert und behauptet, dass seine Android-App von diesem Problem nicht gefährdet ist und dass seine iOS-App in Kürze aktualisiert wird:
Die Android-App von Dropbox ist nicht betroffen, da sie Zugriffstoken an einem geschützten Ort speichert. Wir aktualisieren derzeit unsere iOS-App, um dasselbe zu tun. Wir weisen darauf hin, dass der fragliche Angriff erfordert, dass ein böswilliger Akteur physischen Zugriff auf das Gerät eines Benutzers hat. In einer solchen Situation ist ein Benutzer anfällig für alle Arten von Bedrohungen, daher empfehlen wir dringend, Geräte zu schützen.
