Facebook almacena tokens de autenticación inseguros en copias de seguridad de iPhone
Durante el último mes más o menos, un puñado de aplicaciones de iOS han estado bajo el foco de atención con respecto a las debilidades de seguridad y el seguimiento de iPhone . Ahora es el turno de Facebook, aunque el problema en cuestión se aplica a muchos otros sitios de redes sociales como LinkedIn, Dropbox y aplicaciones que usan estos sitios para autenticar usuarios en iOS.
El investigador de seguridad Gareth Wright descubrió que la aplicación iOS de Facebook mantiene los tokens de autenticación en un archivo de texto sin formato. Esos tokens son equivalentes a la contraseña que usa para iniciar sesión.
Almacenar tokens de autenticación en una copia de seguridad no es necesariamente una mala idea. Después de todo, si tiene que restaurar su teléfono desde una copia de seguridad, es bueno ver todo conectado como estaba, y el token es necesario para hacer esto. Puede ver cómo funciona esto con la implementación actual de Facebook:
- Inicie sesión en la aplicación de Facebook en su iPhone y haga una copia de seguridad con iTunes
- Cierre la sesión de la aplicación de Facebook en su iPhone (vaya a la parte inferior del menú izquierdo y haga clic en
Settings
→Log Out
- Restaura la copia de seguridad de iTunes en tu teléfono
Verás que has vuelto a iniciar sesión. Aseado.
El camino al infierno está pavimentado con buenas intenciones
Si Facebook almacena su token de autenticación en la copia de seguridad no es el problema principal. El mayor problema aquí es que el token no está encriptado , no tiene un elemento específico del dispositivo y no tiene límite de tiempo . Eso significa que alguien podría extraer el archivo de su copia de seguridad e importarlo a su propio dispositivo. En términos simples, cualquiera que pueda acceder a este archivo puede tener acceso completo a su cuenta de Facebook y usarlo para robar su identidad o rastrear su actividad.
Además de esto, muchas aplicaciones y servicios de terceros utilizan Facebook como un servicio de autenticación. Si un hacker ya inició sesión en su cuenta de Facebook, también podría acceder a estos servicios usándolo.
Facebook ha respondido a las agencias de noticias con el siguiente comentario, aunque parecen omitir la probabilidad de piratería de respaldo insegura, que creemos que es el método más fácil.
Las aplicaciones de Facebook para iOS y Android solo están destinadas para su uso con el sistema operativo provisto por el fabricante, y los tokens de acceso solo son vulnerables si han modificado su sistema operativo móvil (es decir, iOS con jailbreak o Android modificado) o han otorgado a un actor malicioso acceso al dispositivo físico. Desarrollamos y probamos nuestra aplicación en una versión no modificada de sistemas operativos móviles y confiamos en las protecciones nativas como base para el desarrollo, la implementación y la seguridad, todo lo cual está comprometido en un dispositivo con jailbreak. Como dice Apple, "la modificación no autorizada de iOS podría permitir a los piratas informáticos robar información personal ... o introducir malware o virus". Para protegerse, recomendamos a todos los usuarios que se abstengan de modificar su sistema operativo móvil para evitar cualquier inestabilidad de la aplicación o problemas de seguridad.
¿Deberías estar preocupado? Para obtener este archivo, la persona debe tener acceso físico a su dispositivo iOS o una PC con una copia de seguridad almacenada sin cifrar. Un pirata informático informal puede no tener acceso a esos, pero un determinado podría ser capaz de organizar dicho acceso.
Claramente, los editores de aplicaciones como Facebook podrían ayudarse a sí mismos con lo siguiente:
- Aplicar cifrado adicional a los tokens de autenticación en la copia de seguridad
- Asegúrese de que los tokens tengan un elemento específico del dispositivo para que no se puedan usar en otros dispositivos
- Configure los tokens para que tengan una fecha de vencimiento en un futuro próximo
- Alerte a los usuarios de nuevos inicios de sesión a un servicio desde tokens restaurados
¿Quieres examinar tu propio token de autenticación de Facebook?
Puede hacerlo utilizando iPhone Backup Extractor y accediendo a su copia de seguridad en "Modo experto". No podrá leer los datos ni utilizarlos para iniciar sesión en Facebook a menos que sepa lo que está haciendo, y hemos retenido la publicación de cómo hacerlo por razones de seguridad, pero no se necesita mucho para descifrarlo.