Tokens de autenticación inseguros de la tienda de Facebook en copias de seguridad de iPhone

Publicado Actualizado

En el último mes, aproximadamente, un puñado de aplicaciones iOS han estado bajo la lupa con respecto a las debilidades de seguridad y el seguimiento de iPhone . Ahora es el turno de Facebook, aunque el problema en cuestión se aplica a muchos otros sitios de redes sociales como LinkedIn, Dropbox y aplicaciones que usan estos sitios para autenticar usuarios en iOS.

El investigador de seguridad Gareth Wright descubrió que la aplicación de iOS de Facebook mantiene los tokens de autenticación en un archivo de texto sin formato. Esos tokens son equivalentes a la contraseña que usas para iniciar sesión.

Almacenar tokens de autenticación en una copia de seguridad no es necesariamente una mala idea. Después de todo, si tiene que restaurar su teléfono desde una copia de seguridad, es bueno ver todo lo que inició sesión tal como estaba, y el token es necesario para hacer esto. Puedes ver cómo funciona esto con la implementación actual de Facebook:

  • Inicie sesión en la aplicación de Facebook de su iPhone y haga una copia de seguridad con iTunes
  • Cierre sesión en la aplicación de Facebook de su iPhone (vaya a la parte inferior del menú de la izquierda y haga clic en SettingsLog Out
  • Restaura la copia de seguridad de iTunes en tu teléfono

Verás que has vuelto a iniciar sesión. Limpio.

El camino al infierno está pavimentado con buenas intenciones

Si Facebook almacena su token de autenticación en la copia de seguridad no es el problema principal. El mayor problema aquí es que el token no está encriptado , no tiene un elemento específico del dispositivo y no tiene límite de tiempo . Eso significa que alguien podría extraer el archivo de la copia de seguridad e importarlo a su propio dispositivo. En términos simples, cualquiera que pueda acceder a este archivo puede tener acceso completo a su cuenta de Facebook y usarla para robar su identidad o rastrear su actividad.

Además de esto, muchas aplicaciones y servicios de terceros usan Facebook como un servicio de autenticación. Si un pirata informático ya ha iniciado sesión en su cuenta de Facebook, también podría acceder a estos servicios mediante su uso.

Facebook ha respondido a las agencias de noticias con el siguiente comentario, aunque parecen omitir la posibilidad de piratería de seguridad insegura, que creemos que es el método más fácil.

Las aplicaciones de iOS y Android de Facebook solo están diseñadas para ser utilizadas con el sistema operativo provisto por el fabricante, y los tokens de acceso solo son vulnerables si han modificado su sistema operativo móvil (es decir, iOS con jailbreak o Android) o si han otorgado a un actor malicioso acceso al dispositivo físico. Desarrollamos y probamos nuestra aplicación en una versión no modificada de sistemas operativos móviles y confiamos en las protecciones nativas como base para el desarrollo, la implementación y la seguridad, todo lo cual está comprometido en un dispositivo con jailbreak. Como afirma Apple, "la modificación no autorizada de iOS podría permitir a los piratas informáticos robar información personal ... o introducir malware o virus". Para protegerse a sí mismos, recomendamos que todos los usuarios se abstengan de modificar su sistema operativo móvil para evitar cualquier inestabilidad de la aplicación o problemas de seguridad.

¿Deberías estar preocupado? Para obtener este archivo, la persona debe tener acceso físico a su dispositivo iOS o una PC con una copia de seguridad almacenada no cifrada. Un hacker ocasional puede no tener acceso a esos, pero uno determinado puede ser capaz de organizar dicho acceso.

Claramente, los editores de aplicaciones como Facebook podrían ayudarse a sí mismos con lo siguiente:

  • Aplicar cifrado adicional a los tokens de autenticación en la copia de seguridad
  • Asegúrese de que los tokens tengan un elemento específico del dispositivo para que no se puedan usar en otros dispositivos
  • Establecer los tokens para tener una fecha de caducidad en un futuro cercano
  • Avisar a los usuarios sobre los nuevos inicios de sesión en un servicio de tokens restaurados

¿Quieres examinar tu propio token de autenticación de Facebook?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor leyendo el token de autenticación de Facebook

Puede hacer esto usando el Extractor de copia de seguridad de iPhone y acceder a su copia de seguridad en "Modo experto". No podrá leer los datos ni utilizarlos para iniciar sesión en Facebook a menos que sepa lo que está haciendo, y hemos ocultado la publicación de cómo hacerlo por razones de seguridad, pero no se necesita mucho para descárgalo.

About the author

Andy Coles has been building and documenting iPhone Backup Extractor since it was first released. He's made a number of discoveries in the field of data recovery, most notably techniques for transferring data between iPhone backups.

CEO de Reincubate en el Palacio de Buckingham

En la foto de arriba se encuentran los miembros del equipo de Reincubate que se reunieron con la Reina Elizabeth Elizabeth en el Palacio de Buckingham, luego de recibir el premio empresarial más alto del Reino Unido por nuestro trabajo con la tecnología de Apple. Lea nuestra posición sobre privacidad, seguridad y protección .

Hemos ayudado a más de 3 000 000 personas a recuperar sus datos perdidos de iPhone. Permítanos ayudarle a usted también.

Contenido relacionado

¿Podemos mejorar este artículo?

Nos encanta escuchar de los usuarios: ¿por qué no enviarnos un correo electrónico, dejar un comentario o tuitear? @reincubate?

© 2008 - 2019 Reincubate Ltd. Todos los derechos reservados. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. Términos y privacidad. Recomendamos la autenticación de múltiples factores. Construido con en Londres.

close

Para usuarios personales

Para empresas y profesionales

Desplácese hacia abajo para los planes de negocios y profesionales

BASIC

$39.95

Soporte de iTunes

Funciona con Windows y Mac

Asistencia al cliente

Previa de la lista de disp. de iCloud

COMPRAR BÁSICO

Prima

$69.95

Soporte de iCloud e iTunes

Funciona con Windows y Mac

Asistencia al cliente

5 disp. iCloud

COMPRAR PREMIUM
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Experto en forense y iOS

Para empresas y usuarios profesionales.

Negocio

$299.95

25 disp. iCloud

Atención al cliente de alta prioridad

Licencia comercial

Todos los beneficios de Premium

COMPRA BUSINESS
ricloud logo
Demo nuestros APIs para la empresa

¿Acceso a iCloud, herramientas forenses, recuperación masiva y recuperación de datos eliminados de SQLite?

Información sobre nuestras API en reincubate.com.