Drošības pētnieks ir atklājis nopietnu trūkumu Facebook un Dropbox lietotnēs gan Android, gan iOS, kas apdraud visus jūsu sensitīvos personas datus.
Ikviens, kam ir piekļuve jūsu ierīcei, var izmantot bezmaksas programmatūru, kas ir viegli pieejama internetā, lai to izgūtu šifrēts, vienkāršs teksta fails no jūsu ierīces, kas nodrošina piekļuvi visam jūsu kontam, neprasot jailbreak.
Garets Raits ziņu sīki izklāstīja jautājumā savā emuārā 3. aprīlī. Sākotnēji tas bija vērsts uz Facebook lietotni, bet Nākamais tīmeklis ziņo, ka trūkums ir arī lietotnē Dropbox.
Kopš tā laika Facebook ir izplatījis paziņojumu, lai noliegtu, ka krājumu ierīcēs ir kāda problēma:
Facebook iOS un Android lietojumprogrammas ir paredzētas lietošanai tikai ar ražotāja nodrošināto operētājsistēmu, un piekļuves marķieri ir tikai neaizsargāti, ja viņi ir mainījuši savu mobilo OS (piemēram, jailbroken iOS vai modificēts Android) vai ļaunprātīgam dalībniekam ir piešķīruši piekļuvi fiziskajai ierīce.
Mēs izstrādājam un testējam savu lietojumprogrammu nemodificētā mobilo operētājsistēmu versijā un paļaujamies uz vietējo aizsardzība kā pamats attīstībai, izvietošanai un drošībai, un tas viss ir apdraudēts cietumā ierīce.
Bet Facebook kļūdās. Ar bezmaksas lietojumprogrammu, ko sauc iExplore, lietotāji var piekļūt visu veidu failiem savā ierīcē, vispirms to nepārkāpjot. Tas ļauj iegūt .plist, kurā ir visi jūsu personas dati. Tas ir vienkāršā tekstā, un tas nekādā veidā nav šifrēts vai aizsargāts, tāpēc ikviens to var atvērt.
Tomēr Facebook ir pareizs, sakot, ka “ļaunprātīgam aktierim” vispirms ir jāiegūst fiziska piekļuve jūsu ierīcei. Tāpēc nav jāuztraucas par to, ka jūsu dati tiek nozagti, kamēr jums ir klausule. Bet, ja tas tiek pazaudēts vai nozagts, tad ir pamats bažām.
Problēma nav saistīta ar Android vai iOS; šīs lietotnes izvēlas nešifrēt jūsu datus. Tātad Facebook un Dropbox ir jānovērš problēma. Varētu būt arī citi, taču pagaidām šie ir vienīgie divi, kuros ir konstatēta šī ievainojamība.
Turiet acis vaļā no šiem atjauninājumiem.
ATJAUNINĀT: Dropbox tagad arī ir runājis par šo problēmu, apgalvojot, ka tās Android lietotne nav pakļauta šai problēmai un ka tās iOS lietotne drīz tiks atjaunināta:
Dropbox Android lietotne netiek ietekmēta, jo tā saglabā piekļuves marķierus aizsargātā vietā. Pašlaik mēs atjauninām savu iOS lietotni, lai darītu to pašu. Mēs atzīmējam, ka attiecīgajam uzbrukumam ļaunprātīgam dalībniekam ir nepieciešama fiziska piekļuve lietotāja ierīcei. Šādā situācijā lietotājs ir uzņēmīgs pret visa veida draudiem, tāpēc mēs ļoti iesakām aizsargāt ierīces.