Scoperto pericoloso bug di sicurezza in Facebook per Android e iOS


Una nuova grave vulnerabilità di sicurezza è stata scoperta in Facebook per Android e Facebook per iOS dallo sviluppatore inglese Gareth Wright. In entrambi i casi ad essere a rischio sono le credenziali d’accesso degli utenti, le quali sono archiviate localmente in chiaro senza alcun sistema di crittografia, per cui risulta molto semplice recuperare questi dati attraverso una connessione USB o, più probabilmente, tramite applicazioni maligne.

Wright ha dettagliato la questione in un post sul blog dal titolo "Facebook Mobile Security Hole allows Identity theft", spiegando che tutto ciò di cui ha bisogno un hacker è quello di afferrare il file plist di Facebook. Plist è l'estensione utilizzata da un file per l'elenco delle proprietà (PropertyList), nei quali vengono memorizzate le impostazioni di un utente e la cui scadenza è impostata da Facebook per altri 2.000 anni.

In essi confluiscono informazioni relative alle applicazioni che si utilizzano sui device (smartphone e tablet) e vengono memorizzate tutte le preferenze impostate dall’utente, tra cui messaggi privati, pagine lette, applicazioni e molto altro. Dopo aver inviato in particolare il file com.facebook.plist ad un amico, Wright ha scoperto che un estraneo poteva accedere liberamente al suo account, pubblicare foto o scrivere messaggi sulla bacheca.


L'hacker può anche accedere altre applicazioni sul dispositivo che richiedono un login di Facebook. Tutto questo è cominciato quando Wright ha iniziato rovistando in alcune directory di applicazioni usando il tool gratuito IExplorer (precedentemente iphone explorer), e si è imbattuto nei token di accesso a Facebook nella  popolare app Draw Something app by OMG POP (ora di proprietà di Zynga).

Dal momento che Since Draw Something ha accesso offline all'account, ha copiato l'hash e testato alcune Facebook Query Language (FQL). Ha detto che poteva tirare indietro praticamente tutte le informazioni dal suo account Facebook. Questi gettoni si esauriscono dopo 60 giorni, ma questo tempo è sufficiente per gli hacker ad afferrare alcuni indirizzi e-mail confermati e altre informazioni di base. Ma non è tutto.

Quando Wright ha controllato la app di Facebook, ha rapidamente scoperto un intero gruppo di immagini nella cache e una chiave OAuth completa in testo normale. Fatto ancora più preoccupante è che la scadenza per la plist è fissata al 1° Gennaio 4001. Il team di sviluppatori di Facebook si è messo al lavoro per risolvere il problema, precisando che che la falla in questione è presente soltanto in dispositivi corrotti oppure modificati.

In realtà, come ha dimostrato successivamente il sito The Next Web, il bug è presente anche sui dispositivi originali. Ed anche le app Dropbox e LinkedIn soffrirebbero del medesimo problema. È banale ricordarlo ma è meglio non lasciare incustoditi i propri smartphone  o tablet, non collegarli a computer anonimi e non affidarli nelle mani di sconosciuti. È opportuno utilizzare le funzioni di blocco tramite password o PIN (numerico) del device.

Via: ZDNet

Nessun commento:

Posta un commento