A rischio sicurezza l'app di Facebook per iOS

Scritto da: -


Uno sviluppatore inglese -Gareth Wright- ha affermato d’aver scoperto una falla significativa all’interno dell’app ufficiale di Facebook per iOS e Android. Chiunque, con l’occasione giusta, potrebbe carpire password, dati personali e farsi un po’ di fatti altrui.

Con un post sul suo blog, Wright racconta di aver scoperto l’estrema leggerezza con cui gli sviluppatori di Facebook hanno affrontato la gestione della privacy sui dispositivi mobili. In luogo della conservazione delle credenziali in un luogo sicuro, infatti, l’app le infila in chiaro -senza crittografia, quindi- all’interno del suo file delle preferenze; un documento .plist che, tra le altre cose, è stato impostato per scadere addirittura nell’anno 4001.

Le conseguenze sono tutt’altro che simpatiche: è sufficiente copiare in qualche modo quel file su di un altro dispositivo iOS, perché anche quest’ultimo riesca tranquillamente ad accedere alla vostra pagina personale del social network blu, nonché a tutti i servizi connessi con essa.

E il problema riguarda un po’ tutti, jailbreaker e non; già, perché per copiare qualche file da un dispositivo iOS non servono mica complicate alchimie software e conoscenze da guru. Ci sono molte utility, come la stessa DiskAid, che consentono di accedere al File System tranquillamente e senza hack, pur se con qualche limitazione.

La buona notizia è che Facebook è a conoscenza della vulnerabilità e ha promesso di risolverla in tempi rapidi. Il dubbio, però, è che esistano altre app che trattino i dati di accesso con la medesima disinvoltura.

Vota l'articolo:
3.29 su 5.00 basato su 35 voti.  
 
Aggiorna
  • nickname Commento 1 su A rischio sicurezza l'app di Facebook per iOS

    by:

    Detta così sembra anche semplice ma il piccolissimo requisito necessario perché qualcuno rubi le nostre credenziali facebook in questo modo é che venga in possesso del nostro dispositivo. A quel punto scusate ma tra foto, contatti, video e mail i cavoli nostri se li sarebbe fatti alla grande anche senza questa falla di sicurezza sull'app di facebook! Scritto il

  • nickname Commento 2 su A rischio sicurezza l'app di Facebook per iOS

    by:

    Manca il dettaglio che la vulnerabilità vale solo sui dispositivi JB, altrimenti l'area "interessata" è inaccessibile Scritto il

  • nickname Commento 3 su A rischio sicurezza l'app di Facebook per iOS

    by:

    Ma sembra quasi che i blog multi piattaforma scrivano appositamente notizie come questa e come quella dei fantomatici virus sui osx per scatenare discussioni, per esempio ieri apple ha superato google anche come valore di singola azione ma non se ne parla, si parla di apple sempre in tono critico e a scopo di screditare. Scritto il

  • nickname Commento 4 su A rischio sicurezza l'app di Facebook per iOS

    by:

    Momento :) Primo: non si può rubare la password, ma solo la chiave di sessione (accessoToken). Questo significa che sì, qualcuno può accedere al nostro profilo, ma appena cambiamo la password o cancelliamo la sua sessione dal sito facebook.com (con il pannello apposito), lui è tagliato fuori. La cosa comunque resta abbastanza grave, ma non tanto quanto il furto della password vera e propria… La chiave di sessione può essere usata, però, anche per altre cose, come per l'accesso alle Graph API.. Secondo: non serve che venga rubato il dispositivo: basta accedere ad un backup del telefono. Quindi, è più "a rischio" il proprio computer… Basta collegare il telefono ad un computer e fare un backup dei suoi dati. Questo significa anche che non è fondamentale il jailbreak, anche se ovviamente può rendere le cose più semplici… Non è necessario il JB nemmeno per "usare" i dati raccolti. Infatti, l'accessToken può essere utilizzato anche via web (con un terminale), oppure si può ripristinare il file estratto in un altro iPhone sempre tramite i backup (vedi iBackupBot). Scritto il

  • nickname Commento 5 su A rischio sicurezza l'app di Facebook per iOS

    by:

    Scritto il

 

© 2004-2014 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Blogo.it contattare la concessionaria esclusiva Populis Engage.

Melablog.it fa parte del Canale Blogo Tecnologia ed è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967.