Um pesquisador de segurança descobriu uma falha séria nos aplicativos do Facebook e Dropbox para Android e iOS que coloca todos os seus dados pessoais confidenciais em risco.
Qualquer pessoa com acesso ao seu dispositivo pode usar um software gratuito que está facilmente disponível na internet para recuperar um arquivo de texto simples não criptografado do seu dispositivo que fornece acesso a toda a sua conta - sem a necessidade de um jailbreak.
Gareth Wright detalhou o problema em uma postagem no blog dele em 3 de abril. Estava inicialmente focado no aplicativo do Facebook, mas The Next Web relata que a falha também está presente no aplicativo Dropbox.
Desde então, o Facebook emitiu uma declaração negando que haja qualquer problema nos dispositivos de estoque:
Os aplicativos iOS e Android do Facebook devem ser usados apenas com o sistema operacional fornecido pelo fabricante, e os tokens de acesso são apenas vulneráveis se eles modificaram seu sistema operacional móvel (ou seja, iOS jailbroken ou Android modded) ou concederam a um ator mal-intencionado acesso ao sistema físico dispositivo.
Desenvolvemos e testamos nosso aplicativo em uma versão não modificada de sistemas operacionais móveis e contamos com a versão nativa proteções como base para o desenvolvimento, implantação e segurança, todos comprometidos em um jailbroken dispositivo.
Mas o Facebook está errado. Com um aplicativo gratuito chamado iExplore, os usuários podem acessar todos os tipos de arquivos em seus dispositivos sem desbloqueá-los primeiro. Isso permite que o .plist que contém todos os seus dados pessoais seja extraído. Está em texto simples e não está criptografado ou protegido de nenhuma forma, portanto, qualquer pessoa pode abri-lo.
O Facebook está correto, entretanto, quando diz que um “ator malicioso” deve primeiro obter acesso físico ao seu dispositivo. Portanto, não há necessidade de se preocupar com o roubo de seus dados enquanto você estiver em posse do seu aparelho. Mas se for perdido ou roubado, há motivo para preocupação.
O problema não é com o Android ou iOS; é com esses aplicativos que optam por não criptografar seus dados. Portanto, cabe ao Facebook e ao Dropbox corrigir o problema. Pode haver outros por aí também, mas esses são os únicos até agora que apresentam essa vulnerabilidade.
Fique de olho nessas atualizações.
ATUALIZAR: O Dropbox agora também se manifestou sobre esse problema, alegando que seu aplicativo para Android não corre risco com esse problema e que seu aplicativo para iOS será atualizado em breve:
O aplicativo do Dropbox para Android não é afetado porque armazena tokens de acesso em um local protegido. No momento, estamos atualizando nosso aplicativo iOS para fazer o mesmo. Observamos que o ataque em questão requer que um agente malicioso tenha acesso físico ao dispositivo de um usuário. Em uma situação como essa, o usuário está suscetível a todos os tipos de ameaças, portanto, recomendamos enfaticamente a proteção dos dispositivos.
