Default post cover image

Tokens de autenticación inseguros de la tienda de Facebook en copias de seguridad de iPhone

Andrew Coles

por Andrew Coles

En el último mes, aproximadamente, un puñado de aplicaciones iOS han estado bajo la lupa con respecto a las debilidades de seguridad y el seguimiento de iPhone . Ahora es el turno de Facebook, aunque el problema en cuestión se aplica a muchos otros sitios de redes sociales como LinkedIn, Dropbox y aplicaciones que usan estos sitios para autenticar usuarios en iOS.

El investigador de seguridad Gareth Wright descubrió que la aplicación de iOS de Facebook mantiene los tokens de autenticación en un archivo de texto sin formato. Esos tokens son equivalentes a la contraseña que usas para iniciar sesión.

Almacenar tokens de autenticación en una copia de seguridad no es necesariamente una mala idea. Después de todo, si tiene que restaurar su teléfono desde una copia de seguridad, es bueno ver todo lo que inició sesión tal como estaba, y el token es necesario para hacer esto. Puedes ver cómo funciona esto con la implementación actual de Facebook:

  • Inicie sesión en la aplicación de Facebook en su iPhone y haga una copia de seguridad con iTunes
  • Salga de la aplicación de Facebook en su iPhone (vaya a la parte inferior del menú de la izquierda y haga clic en Settings > Log Out )
  • Restaure la copia de seguridad de iTunes a su teléfono

Verás que has vuelto a iniciar sesión. Limpio.

El camino al infierno está pavimentado con buenas intenciones

Si Facebook almacena su token de autenticación en la copia de seguridad no es el problema principal. El mayor problema aquí es que el token no está encriptado , no tiene un elemento específico del dispositivo y no tiene límite de tiempo . Eso significa que alguien podría extraer el archivo de la copia de seguridad e importarlo a su propio dispositivo. En términos simples, cualquiera que pueda acceder a este archivo puede tener acceso completo a su cuenta de Facebook y usarla para robar su identidad o rastrear su actividad.

Además de esto, muchas aplicaciones y servicios de terceros usan Facebook como un servicio de autenticación. Si un pirata informático ya ha iniciado sesión en su cuenta de Facebook, también podría acceder a estos servicios mediante su uso.

Facebook ha respondido a las agencias de noticias con el siguiente comentario, aunque parecen omitir la probabilidad de piratería no segura de copias de seguridad, que creemos que es el método más fácil.

Las aplicaciones de iOS y Android de Facebook solo están diseñadas para usarse con el sistema operativo proporcionado por la fabricación, y los tokens de acceso solo son vulnerables si han modificado su sistema operativo móvil (es decir, iOS liberado o Android modificado) o si han otorgado a un actor malintencionado acceso al dispositivo físico. Desarrollamos y probamos nuestra aplicación en una versión no modificada de los sistemas operativos móviles y dependemos de las protecciones nativas como una base para el desarrollo, la implementación y la seguridad, todo lo cual se ve comprometido en un dispositivo con jailbreak. Como afirma Apple, "la modificación no autorizada de iOS podría permitir a los piratas informáticos robar información personal ... o introducir malware o virus". Para protegerse, recomendamos a todos los usuarios que se abstengan de modificar su sistema operativo móvil para evitar cualquier inestabilidad de la aplicación o problemas de seguridad.

¿Deberías estar preocupado? Para obtener este archivo, la persona debe tener acceso físico a su dispositivo iOS o una PC con una copia de seguridad almacenada no cifrada. Un hacker ocasional puede no tener acceso a esos, pero uno determinado puede ser capaz de organizar dicho acceso.

Claramente, los editores de aplicaciones como Facebook podrían ayudarse a sí mismos con lo siguiente:

  • Aplicar cifrado adicional a los tokens de autenticación en la copia de seguridad
  • Asegúrese de que los tokens tengan un elemento específico del dispositivo para que no se puedan usar en otros dispositivos
  • Establecer los tokens para tener una fecha de caducidad en un futuro cercano
  • Avisar a los usuarios sobre los nuevos inicios de sesión en un servicio de tokens restaurados

¿Quieres examinar tu propio token de autenticación de Facebook?

iPhone Backup Extractor reading the Facebook auth token
Extractor de copia de seguridad de iPhone leyendo la ficha de autenticación de Facebook

Puede hacer esto usando el Extractor de copia de seguridad de iPhone y acceder a su copia de seguridad en "Modo experto". No podrá leer los datos ni utilizarlos para iniciar sesión en Facebook a menos que sepa lo que está haciendo, y hemos ocultado la publicación de cómo hacerlo por razones de seguridad, pero no se necesita mucho para descárgalo.

Andrew Coles

por Andrew Coles on , last updated

Hemos ayudado a más de 3 000 000 personas a recuperar sus datos perdidos de iPhone. Permítanos ayudarle a usted también.

Envíe un comentario

© 2008 - 2018 Reincubate Ltd. Registrada en Inglaterra y Gales: #5189175, VAT GB151788978. Construido con ❤️ en Londres.

Reincubate es una marca comercial registrada. Todos los derechos reservados. Términos y condiciones. Política de privacidad. Son tus datos, no los nuestros. Recomendamos la autenticación de múltiples factores.

close

Para usuarios personales

Para empresas y profesionales

Desplácese hacia abajo para los planes de negocios y profesionales

BASIC

$34.95

Soporte de iTunes

Funciona con Windows y Mac

Asistencia al cliente

Previa de la lista de disp. de iCloud

COMPRAR BÁSICO

Prima

$69.95

Soporte de iCloud e iTunes

Funciona con Windows y Mac

Asistencia al cliente

5 disp. iCloud

COMPRAR PREMIUM
Jonathan

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Forense y experto en iOS

Para usuarios profesionales y profesionales

Business

$299.95

25 disp. iCloud

Asistencia al cliente de alta prioridad

Licencia comercial

Todos los beneficios de Premium

COMPRA BUSINESS
ricloud
Demo nuestros APIs para la empresa

¿Acceso a iCloud, herramientas forenses, recuperación masiva y recuperación de datos eliminados de SQLite?

Información sobre nuestras API en reincubate.com.