Přihlašovací údaje pro Facebook a Dropbox jsou náchylné k krádeži v systémech iOS a Android

Bezpečnostní výzkum Gareth Wright ‚narazil 'na způsob, jak přimět jedno zařízení iOS nebo Android, aby si myslelo, že je přihlášeno k účtu Facebook jiného. Metoda podle všeho funguje také s přehledy Dropbox, The Next Web. Pouhým zkopírováním „plistu“ ze zařízení iOS nebo Android a vložením do stejného adresáře na jiném zařízení (pomocí bezplatné aplikace pro Mac, jako je iExplorer), může kdokoli snadno vytvořit aplikace, jako je Facebook a Dropbox, za to, že jste vy.

facebook pro ipad retina

facebook pro ipad retina



Bezpečnostní výzkumník Gareth Wright ‚narazil na 'způsob, jak přimět jedno zařízení iOS nebo Android, aby si myslelo, že je přihlášeno k účtu Facebook jiného. Zdá se, že metodafunguje také s Dropboxem,Další webzprávy. Jednoduše zkopírujte „plist“ ze zařízení iOS nebo Android a vložte jej do stejného adresáře na jiném zařízení (pomocí bezplatné aplikace pro Mac, jako jeiExplorer), kdokoli může snadno přesvědčit Facebook a Dropbox (a pravděpodobně i některé další aplikace), že jste vy. Je to tak snadné. Facebook vydal prohlášení k této věci:



Aplikace Facebook pro iOS a Android jsou určeny pouze pro použití s ​​operačním systémem poskytovaným výrobou a přístupové tokeny jsou zranitelné pouze v případě, že změnily svůj mobilní operační systém (tj. Jailbroken iOS nebo upravený Android) neboudělili přístup škodlivého herce k fyzickému zařízení. Vyvíjíme a testujeme naši aplikaci na nemodifikované verzi mobilních operačních systémů a spoléháme se na nativní ochranu jako základ pro vývoj, nasazení a zabezpečení, které jsou kompromitovány na zařízení jailbroken. Jak uvádí Apple, „neoprávněná úprava systému iOS by mohla hackerům umožnit ukrást osobní údaje ... nebo zavést malware nebo viry“. Abychom se chránili, doporučujeme všem uživatelům zdržet se úpravy mobilních operačních systémů, aby nedocházelo k nestabilitě aplikací nebo problémům se zabezpečením.

I když se zdá, že prohlášení Facebooku naznačuje, že k tomu, aby se to stalo, možná budete muset používat jailbroken nebo rootované zařízení, není tomu tak. I když vaše zařízení se systémem iOS není jailbroken a má na něm přístupový kód, je k dispozici váš přístupový token a klíč OAuth, což znamená, že kdokoli, kdo zkopíruje tyto soubory do svého zařízení, se může dostat do vašeho účtu na Facebooku, stejně jako do všech aplikací (jako DrawSomething) který využívá vaše přihlašovací údaje na Facebooku.



Pokud tedy osoba se zlým úmyslem získá přístup k vašemu zařízení, Facebook připouští, že bude moci přejet vaše přístupové tokeny. Jak? Protože Facebook ukládá tyto tokeny do nezašifrovaného prostého textového souboru. I když je nepravděpodobný scénář, kdy se zloděj vyškrábe o vaše tokeny na Facebooku, než zkontroluje vaše e-maily, kontakty a informace o bankovním účtu, hack stále existuje.The Next Web'sMatthew Panzarinoúspěšně reprodukoval Wrightův experimentpomocí seznamů umístěných uvnitř Facebooku i Dropboxu a poukazuje na to, že i když jste svůj telefon neztratili, můžete být potenciálně v nebezpečí:

Pokud program běžel na veřejném počítači nebo pokud někdo upravil veřejnou nabíjecí stanici tak, aby odčerpal soubor .plist v prostém textu, mohl by teoreticky získat přístup k těmto informacím, ať už jste jailbroken nebo ne.

I když se některá z těchto situací jeví jako nepravděpodobná, Wright není tak přesvědčený. OnřeklnaArs Technica:



Scénář je něco, co se na univerzitách a pracovištích často děje, když uživatelé nabíjejí svá zařízení.

interiér modelu Tesla

Řekl WrightZDnetže Facebook v současné době pracuje na opravě, ale jako vždy, jednoduché vzdálené vymazání zmírní jakékoli obavy ze ztráty vašich dat, pokud dojde ke krádeži vašeho zařízení. Na svém webu nabízí jedno poslední slovo varování:

Největší riziko představuje malware a viry určené ke slurpování dat ze zařízení připojených k PC, takže i přes to, co říkají jiné články; jailbroken nebo ne, jsi zranitelný!

Prozatím sledujte oči podezřele vypadajících nabíjecích stanic.

Aktualizace: Dropbox vydal prohlášení k této věci:

Aplikace pro Android Dropboxu není ovlivněna, protože ukládá přístupové tokeny na chráněném místě. Aktuálně aktualizujeme naši aplikaci pro iOS, abychom udělali totéž. Bereme na vědomí, že dotyčný útok vyžaduje, aby maličkář měl fyzický přístup k zařízení uživatele. V takové situaci je uživatel náchylný k nejrůznějším hrozbám, proto důrazně doporučujeme zabezpečit zařízení.