AppleZoo, il blog dedicato al mondo Apple, con tutte le news su iPhone, iPad, applicazioni, iPod, iTunes e Mac.

Articolo
Articoli collegati
 Uno sviluppatore Inglese, navigando tramite un apposito tool chiamato iExplorer tra le cartelle di alcune applicazioni con integrazione a Facebook, si è imbattuto in un token di accesso a Facebook scritto in testo semplice.

Con  determinate query ha potuto estrarre più o meno tutte le informazioni salvate nel suo account sul social network e, a fronte di indagini più approfondite, si è accorto che nella specifica cartella dell'applicazione "Draw Something" non solo erano conservate le copie cache di alcune immagini ma bensì anche un file "com.Facebook.plist". Quando ha scoperto il contenuto ne è rimasto shoccato. Praticamente tutte le informazioni ed impostazioni dell'account utente erano contenute in un normalissimo file testuale, criptate in qualche modo con l'id del dispositivo e con data di scadenza del file impostata per il 1 Gennaio 4001!!!

Il nostro curioso sviluppatore Gareth quindi, dopo aver eseguito un veloce backup, ha ben pensato di eseguire qualche esperimento: ha esportato il suo file plist e lo ha inviato ad un amico per vedere cosa accadeva. Quest'ultimo, dopo aver eseguito a sua volta dei backup ed essere uscito da Facebook, ha caricato il file .plist che gli è stato passato e -sorpresa delle sorprese- tutti i post della bacheca, i messaggi privati e i mi piace dell'amico si trovavano sul suo dispositivo! E pensate che anche dopo aver ripristinato il suo vecchio .plist continuava a ricevere le notifiche dell'amico Gareth! Dopo aver eseguito questa procedura su ben quattro dispositivi senza ricevere alcun tipo di avvertimento, il nostro, ha scritto a Facebook circa il problema e la risposta che ha ricevuto è stata "Stiamo lavorando per sistemare il problema. Grazie per aver contattato Facebook".


Ma non sta solo a Facebook aggiornare le sue applicazioni ufficiali bensì spetta anche ad ogni sviluppatore che ha memorizzato token testuali aggiornarsi ed usare quelli criptati e della durata di 60 giorni. Ad ogni modo, per far capire come questa falla possa colpire tutti indifferentemente dal dispositivo e dal fatto che sia o meno Jailbroken Gareth ha sviluppato alcune tesi secondo le quali anche un semplice software nascosto in esecuzione su un computer condiviso possa rubare i file .plist da un dispositivo connesso anche solo per ricaricare la batteria, o di come tutto ciò sia possibile anche tramite uno speaker modificato con ingresso dock. Anche se il maggior rischio, comunque, rimane in probabili virus e malware sviluppati ad hoc per il furto di dati quando i dispositivi sono connessi ai computer; perciò state attenti perché jailbreak o non jailbreak anche voi siete vulnerabili.


Wright conclude dicendo che stando ad alcuni articoli scritti da Facebook questo problema non sembrerebbe esattamente risolvibile, ma gli sviluppatori potrebbero se non altro aggiungere un secondo livello di autenticazione o avvertire un utente quando l'account viene usato su altri dispositivi. Esattamente come è possibile su PC... Se volete stare completamente al sicuro per ora limitatevi ad evitare di inserire il vostro dispositivo in computer condivisi o "stazioni di ricarica" pubbliche.

Cerca su Applezoo