Gareth Wright, uno sviluppatore di apps per Android e iOS, ha recentemente scoperto una falla di sicurezza nelle applicazioni mobili per Facebook che può essere utilizzata per rubare le informazioni personali di un utente. Infatti le apps native di Facebook per Android e iOS non crittografano le credenziali di accesso, ma le memorizzano in un file di testo in chiaro rendendole facilmente accessibili da una connessione USB o, più probabilmente, attraverso l’utilizzo di un’app fraudolenta. Wright ha spiegato in un post che il file plist di Facebook, cioè il file contenente i dati personali dell’utente, è memorizzato in chiaro ed è impostato per non scadere per 2.000 anni. Se un file plist viene copiato in un altro dispositivo semplicemente aprendo l’app di Facebook il gioco è fatto, si verrà automaticamente registrati nel profilo dell’utente proprietario del plist utilizzato ! Le affermazioni di Wright sono state confermate da TheNextWeb, che ha anche scoperto che la app di Dropbox per iOS ha lo stesso problema. L’acceso al file plist non richiede neppure che il dispositivo sia jailbroken, e exploit può essere eseguito con un semplice file explorer.
Gareth Wright ha scoperto questa falla utilizzando la popolare app Draw Something e notando la presenza di un access token di Facebook in formato testo. Dopo aver copiato l’hash e provato alcune query FQL ha scoperto che poteva estrarre essenzialmente qualsiasi informazione dal suo account Facebook. Non basta, dopo aver inviato il plist ad alcuni amici fidati, questi hanno potuto facilmente aggiornare il suo status, inviare messaggi a suo nome, cioè in sostanza utilizzare il suo account !!
In merito a questa falla di sicurezza che sta preoccupando un’ampia platea di utenti, la società Dropbox ha dichiarato che”la citata falla di sicurezza non è presente nella app Android di Dropbox in quanto il token di accesso è memorizzato in un luogo protetto. Stiamo aggiornando la nostra app iOS per fare lo stesso. Sottolineiamo anche che la falla di sicurezza in questione richiede che l’utente malintenzionato abbia accesso fisico al dispositivo…”.
Lato Facebook hanno commentato dicendo che “siamo a conoscenza del problema e stiamo lavorando per rimuovere la falla di sicurezza, ma a meno che anche gli sviluppatori di app seguano l’esempio ed inizino subito a crittografare il token di accesso fornito da Facebook (valido per 60 giorni) è solo una questione di tempo prima che qualcuno inizi ad utilizzare le informazioni sottratte per scopi malevoli… se già così non fosse”.
La Facebook ha poi cercato di calmare la situazione rilasciando anche una dichiarazione in cui precisa: “I token di accesso sono vulnerabili solo se gli utenti hanno modificato il loro sistema operativo mobile [via jailbrake o rooting] o se l’utente malintenzionato ha accesso fisico al dispositivo. Sviluppiamo e testiamo le nostre applicazioni su versioni originali e non modificate dei sistemi operativi mobili e ci basiamo sulle protezioni di tali sistemi operativi come base per lo sviluppo, l’implementazione e la sicurezza, ed il tutto è compromesso su un dispositivo jailbroken”.