Falla di sicurezza nelle app Facebook e Dropbox: possibile il furto di identità [News]

Gareth Wright, uno sviluppatore di apps per Android e iOS, ha recentemente scoperto una falla di sicurezza nelle applicazioni mobili per Facebook che può essere utilizzata per rubare le informazioni personali di un utente. Infatti le apps native di Facebook per Android e iOS non crittografano le credenziali di accesso, ma le memorizzano in un file di testo in chiaro rendendole facilmente accessibili da una connessione USB o, più probabilmente, attraverso l’utilizzo di un’app fraudolenta. Wright ha spiegato in un post che il file plist di Facebook, cioè il file contenente i dati personali dell’utente, è memorizzato in chiaro ed è impostato per non scadere per 2.000 anni. Se un file plist viene copiato in un altro dispositivo semplicemente aprendo l’app di Facebook il gioco è fatto, si verrà automaticamente registrati nel profilo dell’utente proprietario del plist utilizzato ! Le affermazioni di Wright sono state confermate da TheNextWeb, che ha anche scoperto che la app di Dropbox per iOS ha lo stesso problema. L’acceso al file plist non richiede neppure che il dispositivo sia jailbroken, e exploit può essere eseguito con un semplice file explorer.

Gareth Wright ha scoperto questa falla utilizzando la popolare app Draw Something e notando la presenza di un access token di Facebook in formato testo. Dopo aver copiato l’hash e provato alcune query FQL ha scoperto che poteva estrarre essenzialmente qualsiasi informazione dal suo account Facebook. Non basta, dopo aver inviato il plist ad alcuni amici fidati, questi hanno potuto facilmente aggiornare il suo status, inviare messaggi a suo nome, cioè in sostanza utilizzare il suo account !!

Leggi tutto “Falla di sicurezza nelle app Facebook e Dropbox: possibile il furto di identità [News]”