En säkerhetsforskare har upptäckt en allvarlig brist med Facebook- och Dropbox -apparna för både Android och iOS som riskerar alla dina känsliga personuppgifter.
Alla som har tillgång till din enhet kan använda en gratis mjukvara som är lätt tillgänglig på internet för att hämta en okrypterad, ren textfil från din enhet som ger åtkomst till hela ditt konto - utan att det krävs jailbreak.
Gareth Wright redogjorde för frågan i ett inlägg på hans blogg den 3 april. Det var inledningsvis inriktat på Facebook -appen, men Nästa webb rapporterar att felet också finns i Dropbox -appen.
Facebook har sedan utfärdat ett uttalande för att förneka att det finns några problem på lagerenheter:
Facebooks iOS- och Android -applikationer är endast avsedda att användas med tillverkarens tillhandahållna operativsystem, och åtkomsttoken är endast sårbara om de har ändrat sitt mobila operativsystem (dvs. jailbroken iOS eller modded Android) eller har gett en skadlig aktör åtkomst till det fysiska enhet.
Vi utvecklar och testar vår applikation på en omodifierad version av mobila operativsystem och litar på den ursprungliga skydd som en grund för utveckling, distribution och säkerhet, som alla äventyras på ett jailbroken enhet.
Men Facebook har fel. Med en gratis applikation som heter iExplorekan användare komma åt alla möjliga filer på sin enhet utan att först jailbreaka den. Detta gör att .plist som innehåller alla dina personuppgifter kan extraheras. Det är i vanlig text och det är inte krypterat eller säkrat på något sätt, så vem som helst kan öppna det.
Facebook har dock rätt när det står att en "skadlig aktör" måste få fysisk åtkomst till din enhet först. Så du behöver inte oroa dig för att dina data blir stulna medan du har din telefon. Men om det är förlorat eller stulet, finns det anledning till oro.
Problemet är inte med Android eller iOS själva; det är med dessa appar som väljer att inte kryptera dina data. Så det är upp till Facebook och Dropbox att åtgärda problemet. Det kan finnas andra där ute också, men det är de enda två hittills som har visat sig innehålla denna sårbarhet.
Håll ögonen öppna för dessa uppdateringar.
UPPDATERING: Dropbox har nu också uttalat sig om detta problem och hävdat att dess Android -app inte riskerar detta problem och att iOS -appen snart kommer att uppdateras:
Dropbox Android -app påverkas inte eftersom den lagrar åtkomsttoken på en skyddad plats. Vi uppdaterar för närvarande vår iOS -app för att göra detsamma. Vi noterar att attacken i fråga kräver att en skadlig aktör har fysisk åtkomst till en användares enhet. I en sådan situation är en användare mottaglig för alla slags hot, så vi rekommenderar starkt att skydda enheter.