セキュリティ研究者は、AndroidとiOSの両方のFacebookアプリとDropboxアプリに重大な欠陥があり、機密性の高い個人データをすべて危険にさらしていることを発見しました。
デバイスにアクセスできる人は誰でも、インターネットで簡単に入手できる無料のソフトウェアを使用して、 脱獄を必要とせずに、アカウント全体へのアクセスを提供する、デバイスからの暗号化されていないプレーンテキストファイル。
Gareth Wrightは、この問題について投稿で詳しく説明しました 彼のブログで 4月3日。 当初はFacebookアプリに焦点を当てていましたが、 次のWeb 欠陥がDropboxアプリにも存在することを報告します。
Facebookはその後、ストックデバイスに問題があることを否定する声明を発表しました。
FacebookのiOSおよびAndroidアプリケーションは、メーカー提供のオペレーティングシステムでの使用のみを目的としており、アクセストークンは モバイルOSを変更した場合(つまり、ジェイルブレイクされたiOSまたは変更されたAndroid)、または悪意のあるアクターに物理的なアクセスを許可した場合、脆弱です 端末。
変更されていないバージョンのモバイルオペレーティングシステムでアプリケーションを開発およびテストし、ネイティブに依存しています 開発、展開、セキュリティの基盤としての保護。これらはすべて、ジェイルブレイクで侵害されます。 端末。
しかし、Facebookは間違っています。 と呼ばれる無料のアプリケーションで iExplore、ユーザーは、最初にジェイルブレイクすることなく、デバイス上のあらゆる種類のファイルにアクセスできます。 これにより、すべての個人データを含む.plistを抽出できます。 プレーンテキストであり、暗号化も保護もされていないため、誰でも開くことができます。
ただし、Facebookは、「悪意のある攻撃者」が最初にデバイスへの物理的なアクセスを取得する必要があると言っている場合は正しいです。 そのため、携帯電話を所有しているときにデータが盗まれる心配はありません。 しかし、紛失したり盗まれたりした場合は、懸念の原因があります。
問題はAndroidやiOS自体ではありません。 データを暗号化しないことを選択するのは、これらのアプリです。 したがって、問題を修正するのはFacebookとDropbox次第です。 他にも存在する可能性がありますが、これまでのところ、この脆弱性を特徴としているのはこれら2つだけです。
それらの更新に目を離さないでください。
アップデート: Dropboxもこの問題について話し、Androidアプリはこの問題のリスクにさらされておらず、iOSアプリはまもなく更新されると主張しています。
DropboxのAndroidアプリは、保護された場所にアクセストークンを保存するため、影響を受けません。 現在、iOSアプリを更新して同じことを行っています。 問題の攻撃では、悪意のある攻撃者がユーザーのデバイスに物理的にアクセスする必要があることに注意してください。 このような状況では、ユーザーはあらゆる種類の脅威の影響を受けやすいため、デバイスを保護することを強くお勧めします。