Turvauurija on avastanud tõsise vea nii Androidi kui ka iOS -i Facebooki ja Dropboxi rakendustes, mis seab ohtu kõik teie tundlikud isikuandmed.
Igaüks, kellel on juurdepääs teie seadmele, saab selle hankimiseks kasutada tasuta tarkvara, mis on Internetis hõlpsasti kättesaadav teie seadmest krüptimata lihttekstifail, mis võimaldab juurdepääsu kogu teie kontole - ilma vangistuseta.
Gareth Wright kirjeldas probleemi postituses tema blogis 3. aprillil. Algselt keskenduti Facebooki rakendusele, kuid Järgmine veeb teatab, et viga esineb ka Dropboxi rakenduses.
Facebook on sellest ajast alates avalduse eitanud, et varuseadmetes pole probleeme:
Facebooki iOS- ja Android -rakendused on mõeldud kasutamiseks ainult tootja pakutud operatsioonisüsteemiga ning juurdepääsumärgid on ainult haavatav, kui nad on muutnud oma mobiilse operatsioonisüsteemi (nt iOS -i vangistatud või modifitseeritud Androidi) või andnud pahatahtlikule osalejale juurdepääsu füüsilisele seade.
Arendame ja testime oma rakendust mobiilsete operatsioonisüsteemide modifitseerimata versioonil ja loodame emakeelele kaitset kui arengu, kasutuselevõtu ja turvalisuse alust, mis kõik on vanglasse sattudes ohus seade.
Kuid Facebook eksib. Tasuta rakendusega nimega iExplore, saavad kasutajad oma seadmes kõikvõimalikele failidele juurde pääseda, ilma et peaksite seda kõigepealt jailbreakima. See võimaldab kõiki teie isikuandmeid sisaldavat .plisti välja võtta. See on lihttekst ja see pole mingil viisil krüptitud ega turvatud, nii et igaüks saab selle avada.
Facebookil on aga õigus, kui ta ütleb, et „pahatahtlik näitleja” peab kõigepealt saama teie seadmele füüsilise juurdepääsu. Seega pole vaja muretseda, et teie telefonitoru valdamise ajal teie andmed varastatakse. Aga kui see on kadunud või varastatud, on muretsemiseks põhjust.
Probleem ei ole Androidis ega iOS -is endas; nende rakenduste puhul otsustatakse teie andmeid mitte krüptida. Seega on probleemi lahendamiseks Facebook ja Dropbox. Seal võib olla ka teisi, kuid need on seni ainsad kaks, millel on see haavatavus.
Hoidke nende värskenduste eest silmad lahti.
UPDATE: Dropbox on nüüd ka sellest probleemist rääkinud, väites, et selle Androidi rakendust see probleem ei ohusta ja selle iOS -i rakendust värskendatakse peagi:
See ei mõjuta Dropboxi Androidi rakendust, kuna see salvestab juurdepääsumärgid kaitstud kohta. Värskendame praegu oma iOS -i rakendust, et sama teha. Märgime, et kõnealune rünnak nõuab pahatahtlikult tegutsejalt füüsilist juurdepääsu kasutaja seadmele. Sellises olukorras on kasutaja vastuvõtlik igasugustele ohtudele, seega soovitame tungivalt seadmeid kaitsta.
