보안 연구원이 Android 및 iOS용 Facebook 및 Dropbox 앱에서 모든 민감한 개인 데이터를 위험에 빠뜨리는 심각한 결함을 발견했습니다.
장치에 액세스할 수 있는 사람은 누구나 인터넷에서 쉽게 구할 수 있는 무료 소프트웨어를 사용하여 검색할 수 있습니다. 탈옥을 요구하지 않고 전체 계정에 대한 액세스를 제공하는 장치의 암호화되지 않은 일반 텍스트 파일입니다.
Gareth Wright는 게시물에서 이 문제를 자세히 설명했습니다. 그의 블로그에서 4월 3일. 처음에는 페이스북 앱에 집중했지만, 더 넥스트 웹 Dropbox 앱에도 결함이 있다고 보고합니다.
Facebook은 이후 재고 기기에 문제가 있다는 것을 부인하는 성명을 발표했습니다.
Facebook의 iOS 및 Android 애플리케이션은 제조업체가 제공한 운영 체제에서만 사용하도록 고안되었으며 액세스 토큰은 모바일 OS(i.e. 탈옥 iOS 또는 변조된 Android)를 수정했거나 악의적인 행위자가 물리적 액세스 권한을 부여한 경우 취약합니다. 장치.
우리는 수정되지 않은 버전의 모바일 운영 체제에서 애플리케이션을 개발 및 테스트하며 기본 개발, 배포 및 보안을 위한 기반으로서의 보호 기능은 모두 탈옥된 환경에서 손상됩니다. 장치.
하지만 페이스북은 틀렸다. 라는 무료 애플리케이션으로 아이 익스플로어, 사용자는 먼저 탈옥하지 않고 장치에 있는 모든 종류의 파일에 액세스할 수 있습니다. 이렇게 하면 모든 개인 데이터가 포함된 .plist를 추출할 수 있습니다. 일반 텍스트로 되어 있고 어떤 식으로든 암호화되거나 보호되지 않으므로 누구나 열 수 있습니다.
그러나 "악의적인 행위자"가 먼저 장치에 대한 물리적 액세스 권한을 얻어야 한다는 Facebook의 말이 맞습니다. 따라서 휴대폰을 가지고 있는 동안 데이터 도난에 대해 걱정할 필요가 없습니다. 그러나 분실하거나 도난당한 경우 걱정할 이유가 있습니다.
문제는 Android 또는 iOS 자체에 있는 것이 아닙니다. 데이터를 암호화하지 않도록 선택하는 앱입니다. 따라서 문제를 해결하는 것은 Facebook과 Dropbox에 달려 있습니다. 다른 사람들도 있을 수 있지만 지금까지 이 취약점을 특징으로 하는 것으로 밝혀진 것은 이 두 가지뿐입니다.
이러한 업데이트에 대해 눈을 떼지 마십시오.
업데이트: Dropbox는 이제 Android 앱이 이 문제의 위험이 없으며 iOS 앱이 곧 업데이트될 것이라고 주장하면서 이 문제에 대해서도 언급했습니다.
Dropbox의 Android 앱은 액세스 토큰을 보호된 위치에 저장하기 때문에 영향을 받지 않습니다. 현재 동일한 작업을 수행하기 위해 iOS 앱을 업데이트하고 있습니다. 문제의 공격은 악의적인 행위자가 사용자의 장치에 물리적으로 액세스할 수 있어야 합니다. 이와 같은 상황에서 사용자는 모든 종류의 위협에 취약하므로 장치를 보호하는 것이 좋습니다.