Turvallisuustutkija on havainnut vakavan virheen Android- ja iOS -sovellusten Facebook- ja Dropbox -sovelluksissa, jotka vaarantavat kaikki arkaluonteiset henkilötietosi.
Jokainen, jolla on pääsy laitteeseesi, voi hakea ilmaisen ohjelmiston, joka on helposti saatavilla Internetistä salaamatonta, pelkkää tekstitiedostoa laitteeltasi, joka tarjoaa pääsyn koko tilillesi - ilman vankilamurtoa.
Gareth Wright kertoi ongelmasta postauksessaan hänen blogissaan huhtikuun 3. Aluksi se keskittyi Facebook -sovellukseen, mutta Seuraava verkko raportoi, että vika on myös Dropbox -sovelluksessa.
Facebook on sittemmin antanut lausunnon, jossa se kiistää, että varastossa olevilla laitteilla olisi ongelmia:
Facebookin iOS- ja Android -sovellukset on tarkoitettu käytettäväksi vain valmistajan toimittaman käyttöjärjestelmän kanssa, ja käyttöoikeustunnukset ovat vain haavoittuvaisia, jos he ovat muuttaneet mobiilikäyttöjärjestelmäänsä (esim. vankilassa oleva iOS tai muokattu Android) tai antaneet pahantahtoiselle toimijalle pääsyn fyysiseen laite.
Kehitämme ja testaamme sovellustamme mobiilikäyttöjärjestelmien muokkaamattomalla versiolla ja luotamme alkuperäiseen suojaus kehityksen, käyttöönoton ja turvallisuuden perustana, ja kaikki tämä vaarantuu vankilassa laite.
Mutta Facebook on väärässä. Ilmaisella sovelluksella nimeltään iExplore, käyttäjät voivat käyttää kaikenlaisia tiedostoja laitteellaan ilman, että niitä ensin rikotaan. Tämä mahdollistaa kaikkien henkilökohtaisten tietojesi sisältävän .plistin poimimisen. Se on pelkkää tekstiä eikä sitä ole salattu tai suojattu millään tavalla, joten kuka tahansa voi avata sen.
Facebook on kuitenkin oikeassa, kun se sanoo, että "haitallisen toimijan" on ensin hankittava fyysinen pääsy laitteellesi. Joten sinun ei tarvitse huolehtia siitä, että tietosi varastetaan, kun sinulla on luuri. Mutta jos se katoaa tai varastetaan, on syytä huoleen.
Ongelma ei ole Androidissa tai iOS: ssa; näillä sovelluksilla ei haluta salata tietojasi. Joten Facebookin ja Dropboxin on ratkaistava ongelma. Siellä voi olla muitakin, mutta nämä ovat toistaiseksi ainoat, joilla on havaittu olevan tämä haavoittuvuus.
Pidä silmät auki näiden päivitysten varalta.
PÄIVITTÄÄ: Dropbox on nyt myös puhunut tästä ongelmasta väittäen, että sen Android -sovellus ei ole vaarassa tästä ongelmasta ja että sen iOS -sovellus päivitetään pian:
Tämä ei vaikuta Dropboxin Android -sovellukseen, koska se tallentaa käyttöoikeustunnukset suojattuun paikkaan. Päivitämme parhaillaan iOS -sovellustamme tekemään saman. Huomaa, että kyseessä oleva hyökkäys edellyttää pahantahtoiselta toimijalta fyysistä pääsyä käyttäjän laitteelle. Tällaisessa tilanteessa käyttäjä on altis kaikenlaisille uhille, joten suosittelemme laitteiden suojaamista.