Una nuova grave vulnerabilità di sicurezza è stata scoperta in Facebook per Android e Facebook per iOS dallo sviluppatore inglese Gareth Wright. In entrambi i casi ad essere a rischio sono le credenziali d’accesso degli utenti, le quali sono archiviate localmente in chiaro senza alcun sistema di crittografia, per cui risulta molto semplice recuperare questi dati attraverso una connessione USB o tramite applicazioni maligne.
Wright ha dettagliato la questione in un post sul blog dal titolo "Facebook Mobile Security Hole allows Identity theft", spiegando che tutto ciò di cui ha bisogno un hacker è quello di afferrare il file plist di Facebook. Plist è l'estensione utilizzata da un file per l'elenco delle proprietà (PropertyList), nei quali vengono memorizzate le impostazioni di un utente e la cui scadenza è impostata da Facebook per altri 2.000 anni.
In essi confluiscono informazioni relative alle applicazioni che si utilizzano sui device (smartphone e tablet) e vengono memorizzate tutte le preferenze impostate dall’utente, tra cui messaggi privati, pagine lette, applicazioni e molto altro. Dopo aver inviato in particolare il file com.facebook.plist ad un amico, Wright ha scoperto che un estraneo poteva accedere liberamente al suo account, pubblicare foto o scrivere messaggi sulla bacheca.
L'hacker può anche accedere altre applicazioni sul dispositivo che richiedono un login di Facebook. Il team di sviluppatori di Facebook si è messo al lavoro per risolvere il problema, precisando che che la falla in questione è presente soltanto in dispositivi corrotti oppure modificati. In realtà, come ha dimostrato successivamente il sito The Next Web, il bug è presente anche sui dispositivi originali.
Via: ZDNet
Nessun commento:
Posta un commento