Un ricercatore di sicurezza ha scoperto una grave falla nelle app Facebook e Dropbox sia per Android che per iOS che mette a rischio tutti i tuoi dati personali sensibili.
Chiunque abbia accesso al tuo dispositivo può utilizzare un software gratuito facilmente disponibile su Internet per recuperare un file di testo non crittografato dal tuo dispositivo che fornisce l'accesso a tutto il tuo account, senza richiedere un jailbreak.
Gareth Wright ha dettagliato il problema in un post sul suo blog il 3 aprile. Inizialmente era incentrato sull'app di Facebook, ma Il prossimo Web segnala che la falla è presente anche nell'app Dropbox.
Da allora Facebook ha rilasciato una dichiarazione per negare che ci siano problemi sui dispositivi di serie:
Le applicazioni iOS e Android di Facebook sono destinate esclusivamente all'uso con il sistema operativo fornito dal produttore e i token di accesso sono solo vulnerabili se hanno modificato il proprio sistema operativo mobile (ad esempio iOS jailbroken o Android modificato) o hanno concesso a un malintenzionato l'accesso al dispositivo fisico dispositivo.
Sviluppiamo e testiamo la nostra applicazione su una versione non modificata dei sistemi operativi mobili e ci affidiamo al nativo protezioni come base per lo sviluppo, l'implementazione e la sicurezza, il tutto compromesso da un jailbreak dispositivo.
Ma Facebook si sbaglia. Con un'applicazione gratuita chiamata iExplore, gli utenti possono accedere a tutti i tipi di file sul proprio dispositivo senza prima effettuare il jailbreak. Ciò consente di estrarre il file .plist contenente tutti i tuoi dati personali. È in testo semplice e non è crittografato o protetto in alcun modo, quindi chiunque può aprirlo.
Facebook ha ragione, tuttavia, quando dice che un "attore malintenzionato" deve prima ottenere l'accesso fisico al tuo dispositivo. Quindi non c'è bisogno di preoccuparsi che i tuoi dati vengano rubati mentre sei in possesso del tuo telefono. Ma se viene perso o rubato, allora c'è motivo di preoccupazione.
Il problema non riguarda Android o iOS stessi; è con queste app che scelgono di non crittografare i tuoi dati. Quindi spetta a Facebook e Dropbox risolvere il problema. Potrebbero essercene anche altri là fuori, ma questi sono gli unici due finora trovati a presentare questa vulnerabilità.
Tieni gli occhi aperti per quegli aggiornamenti.
AGGIORNARE: Dropbox ha ora parlato anche di questo problema, affermando che la sua app Android non è a rischio di questo problema e che la sua app iOS verrà aggiornata presto:
L'app Android di Dropbox non è interessata perché memorizza i token di accesso in una posizione protetta. Stiamo attualmente aggiornando la nostra app iOS per fare lo stesso. Notiamo che l'attacco in questione richiede che un attore malintenzionato abbia accesso fisico al dispositivo di un utente. In una situazione del genere, un utente è suscettibile a tutti i tipi di minacce, quindi consigliamo vivamente di salvaguardare i dispositivi.
