Facebook memorizza token di autenticazione non sicuri nei backup di iPhone

Pubblicato aggiornato

Nel corso dell'ultimo mese, una manciata di app iOS è stata sotto i riflettori per quanto riguarda i punti deboli della sicurezza e il monitoraggio dell'iPhone . Ora è il turno di Facebook, sebbene il problema in questione si applichi a molti altri siti di social network come LinkedIn, Dropbox e app che utilizzano questi siti per autenticare gli utenti su iOS.

La ricercatrice di sicurezza Gareth Wright ha scoperto che l'app iOS di Facebook mantiene i token di autenticazione in un semplice file di testo. Quei token equivalgono alla password che usi per accedere.

La memorizzazione di token di autenticazione in un backup non è necessariamente una cattiva idea. Dopotutto, se devi ripristinare il telefono da un backup, è bello vedere tutto connesso come era, e il token è necessario per farlo. Puoi vedere come funziona con l'attuale implementazione di Facebook:

  • Accedi all'app di Facebook sul tuo iPhone e esegui il backup con iTunes
  • Esci dall'app di Facebook sul tuo iPhone (vai in fondo al menu a sinistra e fai clic su SettingsLog Out
  • Ripristina il backup di iTunes sul tuo telefono

Vedrai che hai effettuato nuovamente l'accesso. Pulito.

la strada per l'inferno è lastricata di buone intenzioni

Se Facebook memorizza il suo token di autenticazione nel backup non è il problema principale. Il problema più grande qui è che il token non è crittografato , non ha un elemento specifico del dispositivo e non è limitato nel tempo . Ciò significa che qualcuno potrebbe estrarre il file dal backup e importarlo sul proprio dispositivo. In parole semplici, chiunque possa accedere a questo file può avere pieno accesso al tuo account Facebook e utilizzarlo per rubare la tua identità o tracciare la tua attività.

Inoltre, molte app e servizi di terze parti utilizzano Facebook come servizio di autenticazione. Se un hacker ha già effettuato l'accesso al tuo account Facebook, potrebbe anche accedere a questi servizi utilizzandolo.

Facebook ha risposto alle agenzie di stampa con il seguente commento, anche se sembrano omettere la probabilità di un hacking di backup non sicuro che riteniamo sia il metodo più semplice.

Le applicazioni iOS e Android di Facebook sono destinate esclusivamente all'uso con il sistema operativo fornito dal produttore e i token di accesso sono vulnerabili solo se hanno modificato il loro sistema operativo mobile (ovvero iOS jailbroken o Android modificato) o hanno concesso a un attore malintenzionato l'accesso al dispositivo fisico. Sviluppiamo e testiamo la nostra applicazione su una versione non modificata dei sistemi operativi mobili e facciamo affidamento sulle protezioni native come base per lo sviluppo, l'implementazione e la sicurezza, tutte compromesse su un dispositivo jailbreak. Come afferma Apple, "la modifica non autorizzata di iOS potrebbe consentire agli hacker di rubare informazioni personali ... o introdurre malware o virus". Per proteggersi, raccomandiamo a tutti gli utenti di astenersi dalla modifica del proprio sistema operativo mobile per prevenire instabilità delle applicazioni o problemi di sicurezza.

Dovresti essere preoccupato? Per ottenere questo file, la persona deve avere accesso fisico al tuo dispositivo iOS o PC con un backup archiviato non crittografato. Un hacker occasionale potrebbe non avere accesso a quelli, ma un determinato potrebbe essere in grado di organizzare tale accesso.

Chiaramente, gli editori di app come Facebook potrebbero aiutarsi con quanto segue:

  • Applica crittografia aggiuntiva ai token di autenticazione nel backup
  • Assicurarsi che i token abbiano un elemento specifico del dispositivo in modo che non possano essere utilizzati su altri dispositivi
  • Impostare i token in modo che abbiano una data di scadenza in un prossimo futuro
  • Avvisa gli utenti di nuovi accessi a un servizio da token ripristinati

Vuoi esaminare il tuo token di autenticazione di Facebook?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor che legge il token di autenticazione di Facebook

Puoi farlo utilizzando iPhone Backup Extractor e accedere al tuo backup in "Modalità esperto". Non sarai in grado di leggere i dati o utilizzarli per accedere a Facebook a meno che tu non sappia cosa stai facendo - e abbiamo trattenuto la pubblicazione su come farlo per motivi di sicurezza - ma non ci vuole molto per scoprilo.

Circa l'autore

Andy Coles ha creato e documentato iPhone Backup Extractor da quando è stato rilasciato. Ha fatto una serie di scoperte nel campo del recupero dei dati, in particolare le tecniche per il trasferimento dei dati tra i backup di iPhone.

Reincubate's CEO presso Buckingham Palace

Nella foto sopra sono membri del team di Reincubate che incontra HM Queen Elizabeth Ⅱ a Buckingham Palace, dopo aver ricevuto il premio aziendale più alto del Regno Unito per il nostro lavoro con la tecnologia Apple. Leggi la nostra posizione sulla privacy, sicurezza e protezione .

Contenuto relativo

Possiamo migliorare questo articolo?

Ci piace ascoltare gli utenti: perché non mandarci un'email, lasciare un commento o twittare @reincubate?

© 2008 - 2019 Reincubate Ltd. Tutti i diritti riservati. Registrato in Inghilterra e Galles #5189175, VAT GB151788978. Reincubate® è un marchio registrato. Termini e Condizioni. Raccomandiamo 2FA. Costruito con a Londra.