Ένας ερευνητής ασφαλείας ανακάλυψε ένα σοβαρό ελάττωμα στις εφαρμογές Facebook και Dropbox τόσο για Android όσο και για iOS που θέτει σε κίνδυνο όλα τα ευαίσθητα προσωπικά σας δεδομένα.
Όποιος έχει πρόσβαση στη συσκευή σας μπορεί να χρησιμοποιήσει ένα δωρεάν λογισμικό που είναι εύκολα διαθέσιμο στο διαδίκτυο για να ανακτήσει ένα μη κρυπτογραφημένο, απλό αρχείο κειμένου από τη συσκευή σας που παρέχει πρόσβαση σε ολόκληρο τον λογαριασμό σας - χωρίς να απαιτείται jailbreak.
Ο Γκάρεθ Ράιτ ανέλυσε το ζήτημα σε μια ανάρτηση στο blog του στις 3 Απριλίου. Αρχικά επικεντρώθηκε στην εφαρμογή Facebook, αλλά Ο Επόμενος Ιστός αναφέρει ότι το ελάττωμα υπάρχει επίσης στην εφαρμογή Dropbox.
Το Facebook έχει εκδώσει έκτοτε μια δήλωση για να αρνηθεί ότι υπάρχει κάποιο πρόβλημα σε συσκευές μετοχών:
Οι εφαρμογές του Facebook για iOS και Android προορίζονται μόνο για χρήση με το λειτουργικό σύστημα που παρέχεται από τον κατασκευαστή και τα διακριτικά πρόσβασης είναι μόνο ευάλωτοι εάν έχουν τροποποιήσει το λειτουργικό σύστημα κινητής τηλεφωνίας τους (δηλαδή jailbroken iOS ή τροποποιημένο Android) ή έχουν παραχωρήσει έναν κακόβουλο ηθοποιό πρόσβαση στο φυσικό συσκευή.
Αναπτύσσουμε και δοκιμάζουμε την εφαρμογή μας σε μια μη τροποποιημένη έκδοση λειτουργικών συστημάτων για κινητά και βασίζουμε στο εγγενές προστασία ως βάση για την ανάπτυξη, την ανάπτυξη και την ασφάλεια, τα οποία όλα διακυβεύονται σε περίπτωση jailbroken συσκευή.
Αλλά το Facebook κάνει λάθος. Με μια δωρεάν εφαρμογή που ονομάζεται iExplore, οι χρήστες μπορούν να έχουν πρόσβαση σε όλα τα είδη αρχείων στη συσκευή τους χωρίς να το κάνουν jailbreak πρώτα. Αυτό επιτρέπει την εξαγωγή του .plist που περιέχει όλα τα προσωπικά σας δεδομένα. Είναι σε απλό κείμενο και δεν είναι κρυπτογραφημένο ή ασφαλισμένο με οποιονδήποτε τρόπο, έτσι ώστε ο καθένας να μπορεί να το ανοίξει.
Ωστόσο, το Facebook είναι σωστό όταν λέει ότι ένας «κακόβουλος ηθοποιός» πρέπει πρώτα να αποκτήσει φυσική πρόσβαση στη συσκευή σας. Επομένως, δεν χρειάζεται να ανησυχείτε για την κλοπή των δεδομένων σας ενώ έχετε στην κατοχή σας το ακουστικό σας. Αλλά αν χαθεί ή κλαπεί, τότε υπάρχει λόγος ανησυχίας.
Το ζήτημα δεν αφορά το ίδιο το Android ή το iOS. είναι με αυτές τις εφαρμογές που επιλέγουν να μην κρυπτογραφήσουν τα δεδομένα σας. Επομένως, εναπόκειται στο Facebook και το Dropbox να διορθώσουν το πρόβλημα. Θα μπορούσαν να υπάρχουν και άλλοι εκεί έξω, αλλά αυτοί είναι οι μόνοι δύο μέχρι στιγμής που έχουν βρεθεί ότι διαθέτουν αυτήν την ευπάθεια.
Κρατήστε τα μάτια σας ανοιχτά για αυτές τις ενημερώσεις.
ΕΚΣΥΓΧΡΟΝΙΖΩ: Το Dropbox έχει επίσης μιλήσει για αυτό το ζήτημα, υποστηρίζοντας ότι η εφαρμογή του Android δεν κινδυνεύει από αυτό το πρόβλημα και ότι η εφαρμογή του iOS θα ενημερωθεί σύντομα:
Η εφαρμογή Android του Dropbox δεν επηρεάζεται επειδή αποθηκεύει μάρκες πρόσβασης σε προστατευμένη τοποθεσία. Αυτήν τη στιγμή ενημερώνουμε την εφαρμογή μας iOS για να κάνουμε το ίδιο. Σημειώνουμε ότι για την επίθεση αυτή απαιτείται ένας κακόβουλος ηθοποιός να έχει φυσική πρόσβαση στη συσκευή ενός χρήστη. Σε μια τέτοια κατάσταση, ένας χρήστης είναι επιρρεπής σε κάθε είδους απειλές, επομένως σας συμβουλεύουμε ανεπιφύλακτα να προστατεύετε συσκευές.
