iPhone 백업의 Facebook 저장소 비보안 인증 토큰
지난 한 달 동안 보안 취약점과 iPhone 추적 과 관련하여 소수의 iOS 앱이 주목을 받고 있습니다. 문제의 문제는 LinkedIn, Dropbox 및 이러한 사이트를 사용하여 iOS에서 사용자를 인증하는 앱과 같은 다른 많은 소셜 네트워크 사이트에 적용되지만 Facebook의 차례입니다.
보안 연구원 Gareth Wright는 Facebook의 iOS 앱이 인증 토큰을 일반 텍스트 파일로 유지한다는 것을 발견했습니다. 해당 토큰은 로그인시 사용하는 비밀번호와 동일합니다.
백업에 인증 토큰을 저장하는 것이 반드시 나쁜 생각은 아닙니다. 결국, 백업에서 휴대 전화를 복원 해야하는 경우 로그인 된 모든 항목을 보는 것이 좋으며이 작업을 수행하려면 토큰이 필요합니다. 이것이 Facebook의 현재 구현에서 어떻게 작동하는지 볼 수 있습니다.
- iPhone에서 Facebook 앱에 로그인하고 iTunes를 사용하여 백업하십시오.
- iPhone의 Facebook 앱에서
Log Out
하십시오 (왼쪽 메뉴 하단으로 이동하여Settings
→Log Out
클릭하십시오). - 휴대 전화로 iTunes 백업 복원
다시 로그인 한 것을 볼 수 있습니다. 깔끔합니다.
지옥으로가는 길은 좋은 의도로 포장되어 있습니다
Facebook이 인증 토큰을 백업에 저장하는지 여부는 주요 문제가 아닙니다. 여기서 가장 큰 문제는 토큰 이 암호화 되지 않고 장치 고유의 요소 가 없으며 시간 제한이 없다는 것 입니다. 즉, 누군가 백업에서 파일을 가져 와서 자신의 장치로 가져올 수 있습니다. 간단히 말해서,이 파일에 액세스 할 수있는 사람은 누구나 Facebook 계정에 대한 전체 액세스 권한을 갖고이를 사용하여 신원을 도용하거나 활동을 추적 할 수 있습니다.
이 외에도 많은 타사 앱 및 서비스는 Facebook을 인증 서비스로 사용합니다. 해커가 이미 Facebook 계정에 로그인 한 경우이를 사용하여 이러한 서비스에 액세스 할 수도 있습니다.
페이스 북은 우리가 가장 쉬운 방법이라고 생각하는 안전하지 않은 백업 해킹의 가능성을 생략하는 것처럼 보이지만 다음과 같은 논평을 통해 뉴스 에이전시에 대답했다.
Facebook의 iOS 및 Android 응용 프로그램은 제조 된 운영 체제에서만 사용할 수 있으며 액세스 토큰은 모바일 OS를 수정했거나 (예 : 탈옥 된 iOS 또는 개조 된 Android) 악의적 인 행위자가 물리적 장치에 액세스 한 경우에만 취약합니다. 우리는 수정되지 않은 모바일 운영 체제 버전에서 응용 프로그램을 개발하고 테스트하며 개발, 배포 및 보안의 기초로 기본 보호 기능을 사용합니다. 애플이 밝힌 바와 같이, "iOS를 무단으로 수정하면 해커가 개인 정보를 훔치거나 멀웨어 또는 바이러스를 도입 할 수 있습니다." 자신을 보호하기 위해 모든 사용자는 응용 프로그램 불안정성 또는 보안 문제를 방지하기 위해 모바일 OS를 수정하지 않는 것이 좋습니다.
걱정해야합니까? 이 파일을 가져 오려면 개인이 iOS 장치 또는 암호화되지 않은 저장된 백업이있는 PC에 물리적으로 액세스 할 수 있어야합니다. 우연한 해커는 액세스 할 수 없지만 결정된 사용자는 그러한 액세스를 주선 할 수 있습니다.
분명히 Facebook과 같은 앱 게시자는 다음을 수행하는 데 도움이 될 수 있습니다.
- 백업시 인증 토큰에 추가 암호화 적용
- 다른 장치에서 토큰을 사용할 수 없도록 토큰에 장치 별 요소가 있는지 확인하십시오.
- 가까운 시일 내에 토큰에 만료 날짜를 갖도록 설정
- 복원 된 토큰에서 서비스에 대한 새로운 로그인을 사용자에게 경고
자신의 Facebook 인증 토큰을 조사하고 싶습니까?
iPhone 백업 추출기를 사용하여 "전문가 모드"에서 백업에 액세스 할 수 있습니다. 현재하고있는 일을 알지 못하는 한 데이터를 읽거나 Facebook에 로그인하는 데 사용할 수 없으며 보안상의 이유로이를 수행하는 방법을 공개하지는 않았지만 많은 시간이 걸리지 않습니다. 알아 내십시오.