Jetons d'authentification non sécurisés dans les sauvegardes iPhone

Andy Coles

Par Andy Coles

Publié

Mis à jour

Voyez comment je suis qualifié pour écrire cet article

Au cours du dernier mois, quelques applications iOS ont été mises à l'honneur en ce qui concerne les failles de sécurité et le suivi des iPhone . Maintenant, c'est le tour de Facebook, bien que le problème en question s'applique à de nombreux autres sites de réseaux sociaux tels que LinkedIn, Dropbox et les applications qui utilisent ces sites pour authentifier les utilisateurs sur iOS.

Le chercheur en sécurité Gareth Wright a découvert que l'application iOS de Facebook conserve les jetons d'authentification dans un fichier texte brut. Ces jetons sont équivalents au mot de passe que vous utilisez pour vous connecter.

Stocker des jetons d'authentification dans une sauvegarde n'est pas nécessairement une mauvaise idée. Après tout, si vous devez restaurer votre téléphone à partir d'une sauvegarde, il est intéressant de voir tout ce qui est connecté, et le jeton est nécessaire pour cela. Vous pouvez voir comment cela fonctionne avec l'implémentation actuelle de Facebook:

  • Connectez-vous à l'application Facebook sur votre iPhone et sauvegardez-la avec iTunes.
  • Déconnectez-vous de l'application Facebook sur votre iPhone (allez au bas du menu de gauche et cliquez sur SettingsLog Out
  • Restaurer la sauvegarde iTunes sur votre téléphone

Vous vous verrez connecté. Neat.

Le chemin de l'enfer est pavé de bonnes intentions

Que Facebook stocke son jeton d'authentification dans la sauvegarde ne constitue pas le problème principal. Le plus gros problème est que le jeton n’est pas chiffré , n’a pas d’élément spécifique au périphérique et n’est pas limité dans le temps . Cela signifie que quelqu'un peut extraire le fichier de votre sauvegarde et l'importer sur son propre périphérique. En termes simples, toute personne pouvant accéder à ce fichier peut avoir un accès complet à votre compte Facebook et l'utiliser pour voler votre identité ou suivre votre activité.

De plus, de nombreuses applications et services tiers utilisent Facebook comme service d'authentification. Si un pirate est déjà connecté à votre compte Facebook, il peut également accéder à ces services en l’utilisant.

Facebook a répondu aux agences de presse avec le commentaire suivant, bien qu'elles semblent omettre le risque de piratage de sauvegarde non sécurisé, ce qui, à notre avis, est la méthode la plus simple.

Les applications iOS et Android de Facebook sont uniquement destinées à être utilisées avec le système d'exploitation fourni par le fabricant. Les jetons d'accès ne sont vulnérables que s'ils ont modifié leur système d'exploitation mobile (c'est-à-dire iOS jailbreaké ou Android modifié) ou accordé à un acteur malveillant l'accès au périphérique physique. Nous développons et testons notre application sur une version non modifiée de systèmes d’exploitation mobiles et nous basons sur les protections natives comme base du développement, du déploiement et de la sécurité, qui sont toutes compromises sur un appareil jailbreaké. Selon Apple, "une modification non autorisée d'iOS pourrait permettre aux pirates informatiques de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus." Pour se protéger, nous recommandons à tous les utilisateurs de s'abstenir de modifier leur système d'exploitation mobile afin d'éviter toute instabilité d'application ou tout problème de sécurité.

Devrais-tu t'inquiéter? Pour obtenir ce fichier, la personne doit avoir un accès physique à votre appareil iOS ou à un PC avec une sauvegarde stockée non cryptée. Un pirate occasionnel peut ne pas avoir accès à ces informations, mais une personne déterminée peut être en mesure d’organiser un tel accès.

De toute évidence, les éditeurs d’applications tels que Facebook pourraient s’aider eux-mêmes avec:

  • Appliquer un chiffrement supplémentaire aux jetons d'authentification dans la sauvegarde
  • Assurez-vous que les jetons ont un élément spécifique à l'appareil afin qu'ils ne puissent pas être utilisés sur d'autres appareils
  • Définissez les jetons pour une date d'expiration dans un avenir proche
  • Alerter les utilisateurs sur les nouvelles connexions à un service à partir de jetons restaurés

Vous souhaitez examiner votre propre jeton d'authentification Facebook?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor lisant le jeton d'authentification Facebook

Vous pouvez le faire en utilisant iPhone Backup Extractor et accéder à votre sauvegarde en "Mode Expert". Vous ne serez pas en mesure de lire les données ou de les utiliser pour vous connecter à Facebook à moins de savoir ce que vous faites - et nous ne les publions pas pour des raisons de sécurité - mais cela ne demande pas grand-chose. comprendre.

A propos de l'auteur

Andy Coles has been building and documenting iPhone Backup Extractor since it was first released. He's made a number of discoveries in the field of data recovery, most notably techniques for transferring data between iPhone backups.

PDG de Reincubate au Buckingham Palace

Les photos ci-dessus illustrent les membres de l'équipe de Reincubate réunis au Buckingham Palace avec Sa Majesté la reine Elizabeth, après avoir reçu le prix le plus prestigieux du Royaume-Uni pour leur travail avec la technologie Apple. Lisez notre position sur la vie privée, la sécurité et la sûreté .

Nous avons aidé plus de 3 millions de gens à récupérer leurs données iPhone perdues. Laissez-nous vous aider aussi.

Contenu connexe

Pouvons-nous améliorer cet article?

Nous aimons entendre les utilisateurs: pourquoi ne pas nous envoyer un email, laisser un commentaire ou tweet @reincubate?

© 2008 - 2019 Reincubate Ltd. Tous droits réservés. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. Confidentialité et modalités. Nous recommandons l'authentification multi-facteurs. Construit avec à Londres.

close

Pour les utilisateurs personnels

Pour les entreprises et les utilisateurs professionnels

Faites défiler vers le bas pour les plans d'affaires et pro

Basic

$39.95

Support d’iTunes

Fonctionne avec Windows et Mac

Support client

Aperçu des appareils iCloud

ACHETER BASIC

Prime

$69.95

Support d’iCloud et iTunes

Fonctionne avec Windows et Mac

Support client

5 disp. d’iCloud

ACHETEZ PREMIUM
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Expert en criminalistique et iOS

Pour les utilisateurs professionnels et professionnels

Affaires

$299.95

25 appareils iCloud

Support client prioritaire

Licence commerciale

Tous les avantages de plan Premium

ACHETER BUSINESS
ricloud logo
Démontrer nos API pour l'entreprise

Vous avez besoin d'un accès à l'API iCloud, d'outils légaux, d'une récupération en bloc de données SQLite supprimées?

Découvrez nos API à reincubate.com.