Seorang peneliti keamanan telah menemukan kelemahan serius pada aplikasi Facebook dan Dropbox untuk Android dan iOS yang membahayakan semua data pribadi sensitif Anda.
Siapa pun yang memiliki akses ke perangkat Anda dapat menggunakan perangkat lunak gratis yang tersedia dengan mudah di internet untuk mengambil dan file teks biasa tidak terenkripsi dari perangkat Anda yang menyediakan akses ke seluruh akun Anda — tanpa memerlukan jailbreak.
Gareth Wright merinci masalah ini dalam sebuah posting di blognya pada tanggal 3 April. Awalnya difokuskan pada aplikasi Facebook, tapi Web Berikutnya melaporkan bahwa cacat juga ada di aplikasi Dropbox.
Facebook sejak itu mengeluarkan pernyataan untuk menyangkal ada masalah pada perangkat stok:
Aplikasi iOS dan Android Facebook hanya ditujukan untuk digunakan dengan sistem operasi yang disediakan pabrikan, dan hanya token akses rentan jika mereka telah memodifikasi OS seluler mereka (yaitu iOS yang di-jailbreak atau Android yang dimodifikasi) atau telah memberikan akses aktor jahat ke fisik perangkat.
Kami mengembangkan dan menguji aplikasi kami pada versi sistem operasi seluler yang tidak dimodifikasi dan mengandalkan yang asli perlindungan sebagai dasar untuk pengembangan, penyebaran, dan keamanan, yang semuanya dikompromikan pada jailbroken perangkat.
Tapi Facebook salah. Dengan aplikasi gratis bernama iExplore, pengguna dapat mengakses semua jenis file di perangkat mereka tanpa melakukan jailbreak terlebih dahulu. Ini memungkinkan .plist yang berisi semua data pribadi Anda diekstraksi. Itu dalam teks biasa dan tidak dienkripsi atau diamankan dengan cara apa pun, sehingga siapa pun dapat membukanya.
Facebook benar, bagaimanapun, ketika dikatakan bahwa "aktor jahat" harus mendapatkan akses fisik ke perangkat Anda terlebih dahulu. Jadi tidak perlu khawatir data Anda dicuri saat Anda memiliki handset. Tetapi jika hilang atau dicuri, maka ada alasan untuk khawatir.
Masalahnya bukan pada Android atau iOS itu sendiri; dengan aplikasi ini yang memilih untuk tidak mengenkripsi data Anda. Jadi terserah Facebook dan Dropbox untuk memperbaiki masalah ini. Mungkin ada orang lain di luar sana juga, tetapi sejauh ini hanya dua yang ditemukan memiliki fitur kerentanan ini.
Jauhkan mata Anda kupas untuk update tersebut.
MEMPERBARUI: Dropbox sekarang juga telah berbicara tentang masalah ini, mengklaim bahwa aplikasi Android-nya tidak berisiko dari masalah ini, dan bahwa aplikasi iOS-nya akan segera diperbarui:
Aplikasi Android Dropbox tidak terpengaruh karena menyimpan token akses di lokasi yang dilindungi. Kami sedang memperbarui aplikasi iOS kami untuk melakukan hal yang sama. Kami mencatat bahwa serangan yang dimaksud memerlukan aktor jahat untuk memiliki akses fisik ke perangkat pengguna. Dalam situasi seperti itu, pengguna rentan terhadap segala macam ancaman, jadi kami sangat menyarankan untuk melindungi perangkat.