Истраживач безбедности открио је озбиљну грешку у апликацијама Фацебоок и Дропбок за Андроид и иОС која доводи у опасност све ваше осетљиве личне податке.
Свако ко има приступ вашем уређају може користити бесплатан софтвер који је лако доступан на интернету за преузимање нешифрована, обична текстуална датотека са вашег уређаја која омогућава приступ целом вашем налогу - без потребе за бекством из затвора.
Гаретх Вригхт је детаљно описао проблем у посту на свом блогу 3. априла. У почетку је био фокусиран на апликацију Фацебоок, али Следећи Веб извештава да је недостатак присутан и у апликацији Дропбок.
Фацебоок је у међувремену издао саопштење у којем демантује да постоји било какав проблем са залихама уређаја:
Фацебоок -ове иОС и Андроид апликације намењене су само за употребу са оперативним системом који је обезбедио произвођач, а приступни токени су само рањиви ако су променили свој мобилни ОС (тј. јаилбрекен иОС или модификовани Андроид) или су злонамерном глумцу одобрили приступ физичком уређај.
Развијамо и тестирамо нашу апликацију на неизмењеној верзији мобилних оперативних система и ослањамо се на изворну заштита као темељ за развој, примену и безбедност, а све је то угрожено јаилброом -ом уређај.
Али Фацебоок греши. Уз бесплатну апликацију тзв иЕкплоре, корисници могу приступити свим врстама датотека на свом уређају без претходног бекства из затвора. Ово омогућава издвајање .плист -а који садржи све ваше личне податке. Он је у обичном тексту и није шифрован нити на било који начин заштићен, па га свако може отворити.
Фацебоок је, међутим, у праву када каже да „злонамерни глумац“ мора прво да добије физички приступ вашем уређају. Тако да не морате да бринете о томе да ће вам подаци бити украдени док поседујете слушалицу. Али ако је изгубљен или украден, онда постоји разлог за забринутост.
Проблем није са самим Андроидом или иОС -ом; управо ове апликације одлучују да не шифрују ваше податке. Дакле, на Фацебооку и Дропбоку је да реше проблем. Могло би бити и других, али ово су једина два до сада за која је откривено да представљају ову рањивост.
Држите очи отворене за та ажурирања.
АЖУРИРАЊЕ: Дропбок је такође говорио о овом проблему, тврдећи да његова Андроид апликација није у опасности од овог проблема, те да ће његова иОС апликација ускоро бити ажурирана:
Дропбок -ова Андроид апликација није погођена јер складишти приступне токене на заштићеној локацији. Тренутно ажурирамо нашу иОС апликацију како бисмо учинили исто. Напомињемо да је у питању напад који захтева да злонамерни актер има физички приступ корисничком уређају. У таквој ситуацији корисник је подложан свим врстама пријетњи, па топло препоручујемо заштиту уређаја.