Facebook stocke des jetons d'authentification non sécurisés dans les sauvegardes de l'iPhone
Au cours des derniers mois, une poignée d'applications iOS ont été mises à l'honneur en ce qui concerne les faiblesses de la sécurité et le suivi de l'iPhone . C’est maintenant au tour de Facebook, bien que le problème en question s’applique à de nombreux autres sites de réseaux sociaux tels que LinkedIn, Dropbox et les applications qui utilisent ces sites pour authentifier les utilisateurs sur iOS.
Le chercheur en sécurité, Gareth Wright, a découvert que l'application iOS de Facebook conservait les jetons d'authentification dans un fichier texte. Ces jetons sont équivalents au mot de passe que vous utilisez pour vous connecter.
Stocker des jetons d'authentification dans une sauvegarde n'est pas nécessairement une mauvaise idée. Après tout, si vous devez restaurer votre téléphone à partir d'une sauvegarde, il est agréable de voir tout ce qui est connecté, et le jeton est nécessaire pour le faire. Vous pouvez voir comment cela fonctionne avec la mise en œuvre actuelle de Facebook:
- Connectez-vous à l'application Facebook sur votre iPhone et sauvegardez-la avec iTunes.
- Déconnectez-vous de l'application Facebook sur votre iPhone (allez au bas du menu de gauche et cliquez sur
Settings
→Log Out
- Restaurer la sauvegarde iTunes sur votre téléphone
Vous verrez que vous êtes reconnecté. Parfait.
L'enfer est pavé de bonnes intentions
Que Facebook stocke son jeton d'authentification dans la sauvegarde ne constitue pas le problème principal. Le plus gros problème ici est que le jeton n'est pas crypté , n'a pas d'élément spécifique à l'appareil et n'est pas limité dans le temps . Cela signifie que quelqu'un pourrait extraire le fichier de votre sauvegarde et l'importer sur son propre périphérique. En termes simples, toute personne pouvant accéder à ce fichier peut avoir un accès complet à votre compte Facebook et l'utiliser pour voler votre identité ou suivre votre activité.
De plus, de nombreuses applications et services tiers utilisent Facebook comme service d'authentification. Si un pirate informatique est déjà connecté à votre compte Facebook, il peut également accéder à ces services en l'utilisant.
Facebook a répondu aux agences de presse avec le commentaire suivant, même si elles semblent omettre le risque de piratage de sauvegarde non sécurisé, ce qui, selon nous, est la méthode la plus simple.
Les applications Facebook et iOS ne sont conçues que pour être utilisées avec le système d'exploitation fourni par le fabricant. Les jetons d'accès ne sont vulnérables que s'ils ont modifié leur système d'exploitation mobile (c'est-à-dire iOS jailbreaké ou Android modifié) ou accordé à un acteur malveillant l'accès au périphérique physique. Nous développons et testons notre application sur une version non modifiée de systèmes d'exploitation mobiles et nous basons sur les protections natives comme fondement du développement, du déploiement et de la sécurité, le tout étant compromis sur un appareil jailbreaké. Comme le précise Apple, "une modification non autorisée d'iOS pourrait permettre aux pirates de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus". Pour se protéger, nous recommandons à tous les utilisateurs de s'abstenir de modifier leur système d'exploitation mobile afin d'éviter toute instabilité d'application ou tout problème de sécurité.
Devriez-vous être inquiet? Pour obtenir ce fichier, la personne doit avoir un accès physique à votre appareil iOS ou à un PC avec une sauvegarde stockée non chiffrée. Un pirate informatique occasionnel n’aura peut-être pas accès à ces informations, mais un utilisateur déterminé pourra peut-être organiser cet accès.
De toute évidence, les éditeurs d’applications tels que Facebook pourraient s’aider eux-mêmes dans les domaines suivants:
- Appliquer un cryptage supplémentaire aux jetons d'authentification lors de la sauvegarde
- Assurez-vous que les jetons comportent un élément spécifique au périphérique afin qu'ils ne puissent pas être utilisés sur d'autres périphériques.
- Définir les jetons pour avoir une date d'expiration dans un proche avenir
- Alerte des utilisateurs sur les nouvelles connexions à un service à partir de jetons restaurés
Voulez-vous examiner votre propre jeton d'authentification Facebook?
Vous pouvez le faire en utilisant iPhone Backup Extractor et en accédant à votre sauvegarde en "Mode expert". Vous ne pourrez ni lire les données ni vous connecter à Facebook sans savoir ce que vous faites - et nous ne savons pas comment publier cela pour des raisons de sécurité - mais cela ne prend pas beaucoup de temps. le comprendre.