นักวิจัยด้านความปลอดภัยได้ค้นพบข้อบกพร่องร้ายแรงกับแอป Facebook และ Dropbox สำหรับทั้ง Android และ iOS ซึ่งทำให้ข้อมูลส่วนบุคคลที่ละเอียดอ่อนทั้งหมดของคุณตกอยู่ในความเสี่ยง
ใครก็ตามที่เข้าถึงอุปกรณ์ของคุณได้สามารถใช้ซอฟต์แวร์ฟรีที่หาได้ง่ายบนอินเทอร์เน็ตเพื่อดึงข้อมูล ไฟล์ข้อความธรรมดาที่ไม่ได้เข้ารหัสจากอุปกรณ์ของคุณที่ให้การเข้าถึงบัญชีทั้งหมดของคุณ โดยไม่ต้องเจลเบรก
Gareth Wright ให้รายละเอียดปัญหาในโพสต์ บนบล็อกของเขา เมื่อวันที่ 3 เมษายน ตอนแรกเน้นไปที่แอพ Facebook แต่ เว็บต่อไป รายงานว่ามีข้อบกพร่องในแอป Dropbox ด้วย
Facebook ได้ออกแถลงการณ์เพื่อปฏิเสธว่ามีปัญหาใด ๆ เกี่ยวกับอุปกรณ์สต็อก:
แอปพลิเคชัน iOS และ Android ของ Facebook มีไว้สำหรับใช้กับระบบปฏิบัติการที่ผู้ผลิตจัดหาให้เท่านั้น และโทเค็นการเข้าถึงเท่านั้น เสี่ยงหากพวกเขาได้แก้ไขระบบปฏิบัติการมือถือของพวกเขา (เช่นเจลเบรค iOS หรือดัดแปลง Android) หรือให้ผู้ประสงค์ร้ายเข้าถึงทางกายภาพ อุปกรณ์.
เราพัฒนาและทดสอบแอปพลิเคชันของเราบนระบบปฏิบัติการมือถือเวอร์ชันที่ไม่ได้แก้ไขและพึ่งพาระบบเนทีฟ การป้องกันเป็นพื้นฐานสำหรับการพัฒนา การนำไปใช้ และการรักษาความปลอดภัย ซึ่งทั้งหมดนี้ถูกบุกรุกจากการเจลเบรค อุปกรณ์.
แต่เฟสบุ๊คผิด ด้วยแอปพลิเคชั่นฟรีที่ชื่อว่า iExploreผู้ใช้สามารถเข้าถึงไฟล์ทุกประเภทบนอุปกรณ์ของตนได้โดยไม่ต้องเจลเบรคก่อน วิธีนี้ทำให้สามารถดึงข้อมูล .plist ที่มีข้อมูลส่วนบุคคลของคุณทั้งหมดได้ เป็นข้อความธรรมดาและไม่ได้เข้ารหัสหรือรักษาความปลอดภัยแต่อย่างใด ดังนั้นใครๆ ก็สามารถเปิดได้
อย่างไรก็ตาม Facebook นั้นถูกต้อง เมื่อมีการระบุว่า "ผู้กระทำผิด" ต้องเข้าถึงอุปกรณ์ของคุณก่อน ดังนั้นคุณจึงไม่ต้องกังวลว่าข้อมูลของคุณจะถูกขโมยในขณะที่คุณครอบครองเครื่องของคุณ แต่ถ้าทำหายหรือถูกขโมย ก็มีเหตุให้ต้องกังวล
ปัญหาไม่ได้อยู่ที่ Android หรือ iOS เอง ด้วยแอปเหล่านี้ที่เลือกที่จะไม่เข้ารหัสข้อมูลของคุณ ดังนั้นจึงขึ้นอยู่กับ Facebook และ Dropbox ในการแก้ไขปัญหา อาจมีคนอื่น ๆ อยู่ที่นั่นด้วย แต่นี่เป็นเพียงสองข้อที่พบว่ามีช่องโหว่นี้
คอยจับตาดูการอัปเดตเหล่านั้นอยู่เสมอ
อัปเดต: ตอนนี้ Dropbox ได้พูดถึงปัญหานี้แล้ว โดยอ้างว่าแอป Android ไม่มีความเสี่ยงจากปัญหานี้ และแอป iOS จะได้รับการอัปเดตเร็วๆ นี้:
แอพ Android ของ Dropbox ไม่ได้รับผลกระทบเพราะเก็บโทเค็นการเข้าถึงไว้ในตำแหน่งที่มีการป้องกัน ขณะนี้เรากำลังอัปเดตแอป iOS ให้ทำเช่นเดียวกัน เราทราบดีว่าการโจมตีดังกล่าวกำหนดให้ผู้กระทำผิดต้องมีสิทธิ์เข้าถึงอุปกรณ์ของผู้ใช้ทางกายภาพ ในสถานการณ์เช่นนี้ ผู้ใช้มีความเสี่ยงต่อภัยคุกคามทุกประเภท ดังนั้นเราจึงขอแนะนำอย่างยิ่งให้ปกป้องอุปกรณ์
