Facebook almacena tokens de autenticación inseguros en copias de seguridad de iPhone

Publicado Actualizado

Durante el último mes más o menos, un puñado de aplicaciones de iOS han estado bajo el foco de atención con respecto a las debilidades de seguridad y el seguimiento de iPhone . Ahora es el turno de Facebook, aunque el problema en cuestión se aplica a muchos otros sitios de redes sociales como LinkedIn, Dropbox y aplicaciones que usan estos sitios para autenticar usuarios en iOS.

El investigador de seguridad Gareth Wright descubrió que la aplicación iOS de Facebook mantiene los tokens de autenticación en un archivo de texto sin formato. Esos tokens son equivalentes a la contraseña que usa para iniciar sesión.

Almacenar tokens de autenticación en una copia de seguridad no es necesariamente una mala idea. Después de todo, si tiene que restaurar su teléfono desde una copia de seguridad, es bueno ver todo conectado como estaba, y el token es necesario para hacer esto. Puede ver cómo funciona esto con la implementación actual de Facebook:

  • Inicie sesión en la aplicación de Facebook en su iPhone y haga una copia de seguridad con iTunes
  • Cierre la sesión de la aplicación de Facebook en su iPhone (vaya a la parte inferior del menú izquierdo y haga clic en SettingsLog Out
  • Restaura la copia de seguridad de iTunes en tu teléfono

Verás que has vuelto a iniciar sesión. Aseado.

El camino al infierno está pavimentado con buenas intenciones

Si Facebook almacena su token de autenticación en la copia de seguridad no es el problema principal. El mayor problema aquí es que el token no está encriptado , no tiene un elemento específico del dispositivo y no tiene límite de tiempo . Eso significa que alguien podría extraer el archivo de su copia de seguridad e importarlo a su propio dispositivo. En términos simples, cualquiera que pueda acceder a este archivo puede tener acceso completo a su cuenta de Facebook y usarlo para robar su identidad o rastrear su actividad.

Además de esto, muchas aplicaciones y servicios de terceros utilizan Facebook como un servicio de autenticación. Si un hacker ya inició sesión en su cuenta de Facebook, también podría acceder a estos servicios usándolo.

Facebook ha respondido a las agencias de noticias con el siguiente comentario, aunque parecen omitir la probabilidad de piratería de respaldo insegura, que creemos que es el método más fácil.

Las aplicaciones de Facebook para iOS y Android solo están destinadas para su uso con el sistema operativo provisto por el fabricante, y los tokens de acceso solo son vulnerables si han modificado su sistema operativo móvil (es decir, iOS con jailbreak o Android modificado) o han otorgado a un actor malicioso acceso al dispositivo físico. Desarrollamos y probamos nuestra aplicación en una versión no modificada de sistemas operativos móviles y confiamos en las protecciones nativas como base para el desarrollo, la implementación y la seguridad, todo lo cual está comprometido en un dispositivo con jailbreak. Como dice Apple, "la modificación no autorizada de iOS podría permitir a los piratas informáticos robar información personal ... o introducir malware o virus". Para protegerse, recomendamos a todos los usuarios que se abstengan de modificar su sistema operativo móvil para evitar cualquier inestabilidad de la aplicación o problemas de seguridad.

¿Deberías estar preocupado? Para obtener este archivo, la persona debe tener acceso físico a su dispositivo iOS o una PC con una copia de seguridad almacenada sin cifrar. Un pirata informático informal puede no tener acceso a esos, pero un determinado podría ser capaz de organizar dicho acceso.

Claramente, los editores de aplicaciones como Facebook podrían ayudarse a sí mismos con lo siguiente:

  • Aplicar cifrado adicional a los tokens de autenticación en la copia de seguridad
  • Asegúrese de que los tokens tengan un elemento específico del dispositivo para que no se puedan usar en otros dispositivos
  • Configure los tokens para que tengan una fecha de vencimiento en un futuro próximo
  • Alerte a los usuarios de nuevos inicios de sesión a un servicio desde tokens restaurados

¿Quieres examinar tu propio token de autenticación de Facebook?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor leyendo el token de autenticación de Facebook

Puede hacerlo utilizando iPhone Backup Extractor y accediendo a su copia de seguridad en "Modo experto". No podrá leer los datos ni utilizarlos para iniciar sesión en Facebook a menos que sepa lo que está haciendo, y hemos retenido la publicación de cómo hacerlo por razones de seguridad, pero no se necesita mucho para descifrarlo.

Sobre el Autor

Andy Coles ha estado construyendo y documentando iPhone Backup Extractor desde que se lanzó por primera vez. Ha realizado varios descubrimientos en el campo de la recuperación de datos, especialmente las técnicas para transferir datos entre copias de seguridad de iPhone.

CEO de Reincubate en el Palacio de Buckingham

En la foto de arriba se encuentran los miembros del equipo de Reincubate que se reunieron con la Reina Elizabeth Elizabeth en el Palacio de Buckingham, luego de recibir el premio empresarial más alto del Reino Unido por nuestro trabajo con la tecnología de Apple. Lea nuestra posición sobre privacidad, seguridad y protección .

Contenido relacionado

¿Podemos mejorar este artículo?

Nos encanta escuchar de los usuarios: ¿por qué no enviarnos un correo electrónico, dejar un comentario o tuitear? @reincubate?

© 2008 - 2019 Reincubate Ltd. Todos los derechos reservados. Registrado en Inglaterra y Gales #5189175, VAT GB151788978. Reincubate® es una marca registrada. Términos y privacidad. Recomendamos la autenticación de múltiples factores. Construido con en Londres.