En sikkerhetsforsker har oppdaget en alvorlig feil med Facebook- og Dropbox -appene for både Android og iOS som setter alle dine sensitive personlige data i fare.
Alle med tilgang til enheten din kan bruke en gratis programvare som er lett tilgjengelig på internett for å hente en ukryptert, ren tekstfil fra enheten din som gir tilgang til hele kontoen din - uten å kreve jailbreak.
Gareth Wright detaljerte saken i et innlegg på bloggen hans 3. april. Det var først fokusert på Facebook -appen, men Neste web rapporterer at feilen også er tilstede i Dropbox -appen.
Facebook har siden utstedt en uttalelse for å nekte at det er noe problem på lagerenheter:
Facebooks iOS- og Android -applikasjoner er kun beregnet for bruk sammen med produsentens operativsystem, og tilgangstokener er bare sårbare hvis de har endret mobil -operativsystemet (dvs. jailbroken iOS eller modded Android) eller har gitt en ondsinnet aktør tilgang til det fysiske enhet.
Vi utvikler og tester applikasjonen vår på en umodifisert versjon av mobile operativsystemer og er avhengige av den opprinnelige beskyttelse som grunnlag for utvikling, distribusjon og sikkerhet, som alle er utsatt for en jailbroken enhet.
Men Facebook tar feil. Med en gratis applikasjon kalt iExplore, kan brukere få tilgang til alle slags filer på enheten uten å jailbreake den først. Dette gjør at .plisten som inneholder alle dine personlige data kan hentes ut. Den er i ren tekst og den er ikke kryptert eller sikret på noen måte, så hvem som helst kan åpne den.
Facebook har imidlertid rett når det står at en "ondsinnet skuespiller" først må få fysisk tilgang til enheten din. Så du trenger ikke å bekymre deg for at dataene dine blir stjålet mens du har håndsettet ditt. Men hvis den er mistet eller stjålet, er det grunn til bekymring.
Problemet er ikke med Android eller iOS selv; det er med disse appene som velger å ikke kryptere dataene dine. Så det er opp til Facebook og Dropbox å fikse problemet. Det kan også være andre der ute, men dette er de to eneste så langt som har vist seg å inneholde dette sikkerhetsproblemet.
Hold øynene åpne for oppdateringene.
OPPDATER: Dropbox har nå også uttalt seg om dette problemet og hevdet at Android -appen ikke er utsatt for dette problemet, og at iOS -appen snart oppdateres:
Dropbox Android -app påvirkes ikke fordi den lagrer tilgangstokener på et beskyttet sted. Vi oppdaterer for tiden iOS -appen vår for å gjøre det samme. Vi merker at angrepet det gjelder krever at en ondsinnet aktør har fysisk tilgang til en brukers enhet. I en slik situasjon er en bruker utsatt for alle slags trusler, så vi anbefaler på det sterkeste å beskytte enheter.
