Un investigador de seguridad ha descubierto una falla grave en las aplicaciones de Facebook y Dropbox tanto para Android como para iOS que pone en riesgo todos sus datos personales confidenciales.
Cualquiera que tenga acceso a su dispositivo puede utilizar un software gratuito que está fácilmente disponible en Internet para recuperar un archivo de texto sin cifrar y sin cifrar de su dispositivo que brinda acceso a toda su cuenta, sin requerir un jailbreak.
Gareth Wright detalló el problema en una publicación. en su blog el 3 de abril. Inicialmente se centró en la aplicación de Facebook, pero La próxima web informa que la falla también está presente en la aplicación de Dropbox.
Desde entonces, Facebook ha emitido una declaración para negar que haya algún problema en los dispositivos de stock:
Las aplicaciones iOS y Android de Facebook solo están diseñadas para su uso con el sistema operativo proporcionado por el fabricante, y los tokens de acceso solo vulnerable si han modificado su sistema operativo móvil (es decir, iOS con jailbreak o Android modificado) o han concedido a un actor malintencionado acceso al dispositivo.
Desarrollamos y probamos nuestra aplicación en una versión no modificada de sistemas operativos móviles y confiamos en el nativo protecciones como base para el desarrollo, la implementación y la seguridad, todo lo cual se ve comprometido en un jailbreak dispositivo.
Pero Facebook está equivocado. Con una aplicación gratuita llamada iExplorar, los usuarios pueden acceder a todo tipo de archivos en su dispositivo sin necesidad de liberarlo primero. Esto permite extraer el .plist que contiene todos sus datos personales. Está en texto sin formato y no está encriptado ni protegido de ninguna manera, por lo que cualquiera puede abrirlo.
Sin embargo, Facebook tiene razón cuando dice que un "actor malintencionado" debe obtener primero acceso físico a su dispositivo. Por lo tanto, no hay necesidad de preocuparse por el robo de sus datos mientras esté en posesión de su teléfono. Pero si se pierde o se lo roban, entonces hay motivo de preocupación.
El problema no es con Android o iOS en sí; es con estas aplicaciones que eligen no cifrar sus datos. Así que depende de Facebook y Dropbox solucionar el problema. También podría haber otros por ahí, pero estos son los únicos dos hasta ahora que se han encontrado que presentan esta vulnerabilidad.
Mantén los ojos bien abiertos para esas actualizaciones.
ACTUALIZAR: Dropbox ahora también se ha pronunciado sobre este problema, afirmando que su aplicación de Android no corre el riesgo de este problema y que su aplicación de iOS se actualizará pronto:
La aplicación de Dropbox para Android no se ve afectada porque almacena tokens de acceso en una ubicación protegida. Actualmente estamos actualizando nuestra aplicación iOS para hacer lo mismo. Observamos que el ataque en cuestión requiere que un actor malintencionado tenga acceso físico al dispositivo de un usuario. En una situación como esa, un usuario es susceptible a todo tipo de amenazas, por lo que recomendamos encarecidamente proteger los dispositivos.