חוקר אבטחה גילה פגם חמור באפליקציות פייסבוק ודרופבוקס הן לאנדרואיד והן ל- iOS, המסכן את כל הנתונים האישיים הרגישים שלך.
כל מי שיש לו גישה למכשיר שלך יכול להשתמש בתוכנת חינם הזמינה באינטרנט כדי לאחזר קובץ טקסט רגיל לא מוצפן מהמכשיר שלך המספק גישה לכל החשבון שלך - ללא צורך בפריצת jail.
גארת 'רייט פירט את הנושא בפוסט בבלוג שלו ב -3 באפריל. הוא התמקד בתחילה באפליקציית פייסבוק, אבל האינטרנט הבא מדווח כי הפגם קיים גם באפליקציית Dropbox.
פייסבוק פרסמה מאז הודעה להכחיש כי קיימת בעיה במכשירי מלאי:
יישומי iOS ו- Android של פייסבוק מיועדים לשימוש רק עם מערכת ההפעלה המסופקת על ידי היצרן, ואסימוני גישה הם בלבד פגיעים אם הם שינו את מערכת ההפעלה הניידת שלהם (כלומר, iOS כלוא או אנדרואיד שעשו שינויים) או העניקו לשחקן זדוני גישה לרשת הפיזית התקן.
אנו מפתחים ובודקים את היישום שלנו על גרסה ללא שינוי של מערכות הפעלה ניידות ומסתמכים על המקור הגנות כבסיס לפיתוח, פריסה ואבטחה, שכולן נפגעות בכלא התקן.
אבל פייסבוק טועה. עם יישום חינמי שנקרא iExplore, משתמשים יכולים לגשת לכל מיני קבצים במכשיר שלהם מבלי לפרוץ אותו לכלא קודם. זה מאפשר לחלץ את .plist המכיל את כל הנתונים האישיים שלך. הוא בטקסט רגיל והוא אינו מוצפן או מאובטח בשום צורה, כך שכל אחד יכול לפתוח אותו.
עם זאת, פייסבוק צודקת כאשר היא אומרת ש"שחקן זדוני "חייב לקבל גישה פיזית למכשיר שלך תחילה. כך שאין צורך לדאוג שהנתונים שלך ייגנבו בזמן שיש לך את המכשיר שלך. אבל אם זה אבד או נגנב, אז יש סיבה לדאגה.
הבעיה אינה באנדרואיד או ב- iOS עצמם; זה עם האפליקציות האלה שבוחרות לא להצפין את הנתונים שלך. אז זה תלוי בפייסבוק ובדרופבוקס כדי לתקן את הבעיה. יכולות להיות גם אחרות שם בחוץ, אבל אלה הן השניים היחידים שנמצאו עד כה עם פגיעות זו.
עקוב אחרי העיניים לעדכונים אלה.
עדכון: דרופבוקס התבטאה כעת גם בנושא זה בטענה שאפליקציית האנדרואיד שלה אינה בסכנה מבעיה זו וכי אפליקציית iOS שלה תתעדכן בקרוב:
אפליקציית Android של Dropbox אינה מושפעת מכיוון שהיא שומרת אסימוני גישה במיקום מוגן. אנו מעדכנים כעת את אפליקציית iOS שלנו כדי לעשות את אותו הדבר. נציין כי ההתקפה המדוברת מחייבת שחקן זדוני לקבל גישה פיזית למכשיר של משתמש. במצב כזה, משתמש רגיש לכל מיני איומים, ולכן אנו ממליצים בחום להגן על מכשירים.