Facebook memorizza token di autenticazione non sicuri nei backup di iPhone
Nel corso dell'ultimo mese, una manciata di app iOS è stata sotto i riflettori per quanto riguarda i punti deboli della sicurezza e il monitoraggio dell'iPhone . Ora è il turno di Facebook, sebbene il problema in questione si applichi a molti altri siti di social network come LinkedIn, Dropbox e app che utilizzano questi siti per autenticare gli utenti su iOS.
La ricercatrice di sicurezza Gareth Wright ha scoperto che l'app iOS di Facebook mantiene i token di autenticazione in un semplice file di testo. Quei token equivalgono alla password che usi per accedere.
La memorizzazione di token di autenticazione in un backup non è necessariamente una cattiva idea. Dopotutto, se devi ripristinare il telefono da un backup, è bello vedere tutto connesso come era, e il token è necessario per farlo. Puoi vedere come funziona con l'attuale implementazione di Facebook:
- Accedi all'app di Facebook sul tuo iPhone e esegui il backup con iTunes
- Esci dall'app di Facebook sul tuo iPhone (vai in fondo al menu a sinistra e fai clic su
Settings
→Log Out
- Ripristina il backup di iTunes sul tuo telefono
Vedrai che hai effettuato nuovamente l'accesso. Pulito.
la strada per l'inferno è lastricata di buone intenzioni
Se Facebook memorizza il suo token di autenticazione nel backup non è il problema principale. Il problema più grande qui è che il token non è crittografato , non ha un elemento specifico del dispositivo e non è limitato nel tempo . Ciò significa che qualcuno potrebbe estrarre il file dal backup e importarlo sul proprio dispositivo. In parole semplici, chiunque possa accedere a questo file può avere pieno accesso al tuo account Facebook e utilizzarlo per rubare la tua identità o tracciare la tua attività.
Inoltre, molte app e servizi di terze parti utilizzano Facebook come servizio di autenticazione. Se un hacker ha già effettuato l'accesso al tuo account Facebook, potrebbe anche accedere a questi servizi utilizzandolo.
Facebook ha risposto alle agenzie di stampa con il seguente commento, anche se sembrano omettere la probabilità di un hacking di backup non sicuro che riteniamo sia il metodo più semplice.
Le applicazioni iOS e Android di Facebook sono destinate esclusivamente all'uso con il sistema operativo fornito dal produttore e i token di accesso sono vulnerabili solo se hanno modificato il loro sistema operativo mobile (ovvero iOS jailbroken o Android modificato) o hanno concesso a un attore malintenzionato l'accesso al dispositivo fisico. Sviluppiamo e testiamo la nostra applicazione su una versione non modificata dei sistemi operativi mobili e facciamo affidamento sulle protezioni native come base per lo sviluppo, l'implementazione e la sicurezza, tutte compromesse su un dispositivo jailbreak. Come afferma Apple, "la modifica non autorizzata di iOS potrebbe consentire agli hacker di rubare informazioni personali ... o introdurre malware o virus". Per proteggersi, raccomandiamo a tutti gli utenti di astenersi dalla modifica del proprio sistema operativo mobile per prevenire instabilità delle applicazioni o problemi di sicurezza.
Dovresti essere preoccupato? Per ottenere questo file, la persona deve avere accesso fisico al tuo dispositivo iOS o PC con un backup archiviato non crittografato. Un hacker occasionale potrebbe non avere accesso a quelli, ma un determinato potrebbe essere in grado di organizzare tale accesso.
Chiaramente, gli editori di app come Facebook potrebbero aiutarsi con quanto segue:
- Applica crittografia aggiuntiva ai token di autenticazione nel backup
- Assicurarsi che i token abbiano un elemento specifico del dispositivo in modo che non possano essere utilizzati su altri dispositivi
- Impostare i token in modo che abbiano una data di scadenza in un prossimo futuro
- Avvisa gli utenti di nuovi accessi a un servizio da token ripristinati
Vuoi esaminare il tuo token di autenticazione di Facebook?
Puoi farlo utilizzando iPhone Backup Extractor e accedere al tuo backup in "Modalità esperto". Non sarai in grado di leggere i dati o utilizzarli per accedere a Facebook a meno che tu non sappia cosa stai facendo - e abbiamo trattenuto la pubblicazione su come farlo per motivi di sicurezza - ma non ci vuole molto per scoprilo.