Дослідник безпеки виявив серйозний недолік у програмах Facebook та Dropbox для Android та iOS, які ставлять під загрозу всі ваші конфіденційні дані.
Кожен, хто має доступ до вашого пристрою, може скористатися безкоштовним програмним забезпеченням, яке легко доступне в Інтернеті, щоб отримати його незашифрований, простий текстовий файл з вашого пристрою, що забезпечує доступ до всього вашого облікового запису - без виходу з втечі.
Гарет Райт детально описав це питання у дописі у своєму блозі 3 квітня. Спочатку він був зосереджений на додатку Facebook, але Наступна павутина повідомляє, що недолік також присутній у додатку Dropbox.
З тих пір Facebook опублікував заяву, в якій заперечує наявність будь -яких проблем із пристроями на біржі:
Програми Facebook для iOS та Android призначені лише для використання з операційною системою, наданою виробником, і лише для маркерів доступу вразливі, якщо вони змінили свою мобільну ОС (наприклад, зламану iOS або вмонтовану Android) або надали зловмиснику доступ до фізичної пристрою.
Ми розробляємо та тестуємо наш додаток на немодифікованій версії мобільних операційних систем і спираємось на рідну версію Захист як основа для розвитку, розгортання та безпеки, все це скомпрометовано через зламану в'язницю пристрою.
Але Facebook помиляється. З безкоштовним додатком під назвою iExplore, користувачі можуть отримати доступ до різноманітних файлів на своєму пристрої, не зламавши його попередньо. Це дозволяє видобувати .plist, що містить усі ваші особисті дані. Він у звичайному тексті, він не зашифрований і жодним чином не захищений, тому будь -хто може його відкрити.
Однак Facebook має рацію, коли каже, що «зловмисний актор» повинен спочатку отримати фізичний доступ до вашого пристрою. Тож не варто турбуватися про те, що ваші дані будуть викрадені, коли ви володієте телефоном. Але якщо він загублений або вкрадений, то є привід для занепокоєння.
Проблема не в самих Android чи iOS; саме ці програми вирішують не шифрувати ваші дані. Тож проблему вирішують Facebook та Dropbox. Там можуть бути й інші, але поки що єдині дві, які виявили цю вразливість.
Не дивіться на ці оновлення.
ОНОВЛЕННЯ: Тепер Dropbox також висловився з цього приводу, стверджуючи, що його додаток для Android не піддається ризику через цю проблему, і що його додаток для iOS незабаром буде оновлено:
Додаток Android для Dropbox не зазнає впливу, оскільки він зберігає маркери доступу в захищеному місці. Зараз ми оновлюємо наш додаток iOS, щоб зробити те саме. Ми відзначаємо, що атака, про яку йдеться, вимагає від шкідливого актора фізичного доступу до пристрою користувача. У такій ситуації користувач сприйнятливий до різного роду загроз, тому ми настійно радимо захищати пристрої.