Tokens de autenticación inseguros de la tienda de Facebook en copias de seguridad de iPhone

Andrew Coles

por Andrew Coles

En el último mes, aproximadamente, un puñado de aplicaciones iOS han estado bajo la lupa con respecto a las debilidades de seguridad y el seguimiento de iPhone . Ahora es el turno de Facebook, aunque el problema en cuestión se aplica a muchos otros sitios de redes sociales como LinkedIn, Dropbox y aplicaciones que usan estos sitios para autenticar usuarios en iOS.

El investigador de seguridad Gareth Wright descubrió que la aplicación de iOS de Facebook mantiene los tokens de autenticación en un archivo de texto sin formato. Esos tokens son equivalentes a la contraseña que usas para iniciar sesión.

Almacenar tokens de autenticación en una copia de seguridad no es necesariamente una mala idea. Después de todo, si tiene que restaurar su teléfono desde una copia de seguridad, es bueno ver todo lo que inició sesión tal como estaba, y el token es necesario para hacer esto. Puedes ver cómo funciona esto con la implementación actual de Facebook:

  • Log in to the Facebook app on your iPhone, and back it up with iTunes
  • Log out of the Facebook app on your iPhone (go to the bottom of the left menu and click SettingsLog Out
  • Restore the iTunes backup to your phone

Verás que has vuelto a iniciar sesión. Limpio.

El camino al infierno está pavimentado con buenas intenciones

Si Facebook almacena su token de autenticación en la copia de seguridad no es el problema principal. El mayor problema aquí es que el token no está encriptado , no tiene un elemento específico del dispositivo y no tiene límite de tiempo . Eso significa que alguien podría extraer el archivo de la copia de seguridad e importarlo a su propio dispositivo. En términos simples, cualquiera que pueda acceder a este archivo puede tener acceso completo a su cuenta de Facebook y usarla para robar su identidad o rastrear su actividad.

Además de esto, muchas aplicaciones y servicios de terceros usan Facebook como un servicio de autenticación. Si un pirata informático ya ha iniciado sesión en su cuenta de Facebook, también podría acceder a estos servicios mediante su uso.

Facebook has replied to news agencies with the following comment, although they seem to omit the likelihood of insecure backup hacking which we think is the easiest method.

Las aplicaciones de iOS y Android de Facebook solo están diseñadas para ser utilizadas con el sistema operativo provisto por el fabricante, y los tokens de acceso solo son vulnerables si han modificado su sistema operativo móvil (es decir, iOS con jailbreak o Android) o si han otorgado a un actor malicioso acceso al dispositivo físico. Desarrollamos y probamos nuestra aplicación en una versión no modificada de sistemas operativos móviles y confiamos en las protecciones nativas como base para el desarrollo, la implementación y la seguridad, todo lo cual está comprometido en un dispositivo con jailbreak. Como afirma Apple, "la modificación no autorizada de iOS podría permitir a los piratas informáticos robar información personal ... o introducir malware o virus". Para protegerse a sí mismos, recomendamos que todos los usuarios se abstengan de modificar su sistema operativo móvil para evitar cualquier inestabilidad de la aplicación o problemas de seguridad.

¿Deberías estar preocupado? Para obtener este archivo, la persona debe tener acceso físico a su dispositivo iOS o una PC con una copia de seguridad almacenada no cifrada. Un hacker ocasional puede no tener acceso a esos, pero uno determinado puede ser capaz de organizar dicho acceso.

Claramente, los editores de aplicaciones como Facebook podrían ayudarse a sí mismos con lo siguiente:

  • Aplicar cifrado adicional a los tokens de autenticación en la copia de seguridad
  • Asegúrese de que los tokens tengan un elemento específico del dispositivo para que no se puedan usar en otros dispositivos
  • Establecer los tokens para tener una fecha de caducidad en un futuro cercano
  • Avisar a los usuarios sobre los nuevos inicios de sesión en un servicio de tokens restaurados

¿Quieres examinar tu propio token de autenticación de Facebook?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor reading the Facebook auth token

Puede hacer esto usando el Extractor de copia de seguridad de iPhone y acceder a su copia de seguridad en "Modo experto". No podrá leer los datos ni utilizarlos para iniciar sesión en Facebook a menos que sepa lo que está haciendo, y hemos ocultado la publicación de cómo hacerlo por razones de seguridad, pero no se necesita mucho para descárgalo.

Andrew Coles

por Andrew Coles on , last updated

Hemos ayudado a más de 3 000 000 personas a recuperar sus datos perdidos de iPhone. Permítanos ayudarle a usted también.

Envíe un comentario

© 2008 - 2019 Reincubate Ltd. Todos los derechos reservados. Registrada en Inglaterra y Gales #5189175, VAT GB151788978. Reincubate® es una marca comercial registrada. Términos y privacidad. Recomendamos la autenticación de múltiples factores. Construido con en Londres.

close

Para usuarios personales

Para empresas y profesionales

Desplácese hacia abajo para los planes de negocios y profesionales

BASIC

$39.95

Soporte de iTunes

Funciona con Windows y Mac

Asistencia al cliente

Previa de la lista de disp. de iCloud

COMPRAR BÁSICO

Prima

$69.95

Soporte de iCloud e iTunes

Funciona con Windows y Mac

Asistencia al cliente

5 disp. iCloud

COMPRAR PREMIUM
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Forense y experto en iOS

Para usuarios profesionales y profesionales

Business

$299.95

25 disp. iCloud

Asistencia al cliente de alta prioridad

Licencia comercial

Todos los beneficios de Premium

COMPRA BUSINESS
ricloud logo
Demo nuestros APIs para la empresa

¿Acceso a iCloud, herramientas forenses, recuperación masiva y recuperación de datos eliminados de SQLite?

Información sobre nuestras API en reincubate.com.