Facebook хранит незащищенные токены аутентификации в резервных копиях iPhone
За последний месяц или около того несколько приложений для iOS оказались в центре внимания в отношении слабых мест безопасности и отслеживания iPhone . Теперь очередь за Facebook, хотя рассматриваемая проблема касается многих других сайтов социальных сетей, таких как LinkedIn, Dropbox, и приложений, которые используют эти сайты для аутентификации пользователей на iOS.
Исследователь безопасности Гарет Райт обнаружил, что приложение Facebook для iOS хранит токены аутентификации в виде простого текстового файла. Эти токены эквивалентны паролю, который вы используете для входа.
Хранение токенов аутентификации в резервной копии не обязательно является плохой идеей. В конце концов, если вам нужно восстановить телефон из резервной копии, приятно видеть, что все вошли в систему, как было, и токен необходим для этого. Вы можете увидеть, как это работает с текущей реализацией Facebook:
- Войдите в приложение Facebook на вашем iPhone и создайте резервную копию с помощью iTunes.
- Выйдите из приложения Facebook на вашем iPhone (перейдите в нижнюю часть левого меню и нажмите «
Settings
→ «Log Out
- Восстановите резервную копию iTunes на свой телефон
Вы увидите, что вы снова вошли в систему. Аккуратно.
Дорога в ад вымощена благими намерениями
Сохраняет ли Facebook свой маркер аутентификации в резервной копии, это не главная проблема. Самая большая проблема здесь в том, что токен не зашифрован , не имеет специфического для устройства элемента и не ограничен во времени . Это означает, что кто-то может извлечь файл из вашей резервной копии и импортировать его на свое устройство. Проще говоря, любой, кто может получить доступ к этому файлу, может иметь полный доступ к вашей учетной записи Facebook и использовать его для кражи вашей личности или отслеживания вашей активности.
В дополнение к этому, многие сторонние приложения и службы используют Facebook в качестве службы аутентификации. Если хакер уже вошел в вашу учетную запись Facebook, он также может получить доступ к этим службам, используя его.
Facebook ответил новостным агентствам следующим комментарием, хотя они, похоже, исключают вероятность небезопасного взлома резервных копий, который мы считаем самым простым методом.
Приложения Facebook для iOS и Android предназначены только для использования с предоставленной производителем операционной системой, а маркеры доступа уязвимы только в том случае, если они изменили свою мобильную ОС (то есть взломали iOS или модифицированный Android) или предоставили злоумышленнику доступ к физическому устройству. Мы разрабатываем и тестируем наше приложение на немодифицированной версии мобильных операционных систем и полагаемся на встроенные средства защиты в качестве основы для разработки, развертывания и обеспечения безопасности, которые все взломаны на взломанном устройстве. Как утверждает Apple, «несанкционированная модификация iOS может позволить хакерам украсть личную информацию ... или внедрить вредоносное ПО или вирусы». Чтобы защитить себя, мы рекомендуем всем пользователям воздерживаться от модификации своей мобильной ОС, чтобы предотвратить любую нестабильность приложения или проблемы безопасности.
Должны ли вы беспокоиться? Чтобы получить этот файл, человек должен иметь физический доступ к вашему устройству iOS или ПК с незашифрованной сохраненной резервной копией. Случайный хакер может не иметь доступа к ним, но решительный может быть в состоянии организовать такой доступ.
Очевидно, что издатели приложений, такие как Facebook, могут помочь себе в следующем:
- Применение дополнительного шифрования к токенам аутентификации в резервной копии
- Убедитесь, что токены имеют специфичный для устройства элемент, чтобы их нельзя было использовать на других устройствах.
- Установите токены, чтобы иметь срок действия в ближайшем будущем
- Оповещение пользователей о новых входах в службу с восстановленных токенов
Хотите проверить свой собственный токен аутентификации Facebook?
Вы можете сделать это с помощью iPhone Backup Extractor и получить доступ к вашей резервной копии в «Экспертном режиме». Вы не сможете прочитать данные или использовать их для входа в Facebook, если не знаете, что делаете, - и мы отказались опубликовать, как это сделать по соображениям безопасности, - но это не займет много времени. понять это.