Default post cover image

Jetons d'authentification non sécurisés dans les sauvegardes iPhone

Andrew Coles

par Andrew Coles

Au cours du dernier mois, quelques applications iOS ont été mises à l'honneur en ce qui concerne les failles de sécurité et le suivi des iPhone . Maintenant, c'est le tour de Facebook, bien que le problème en question s'applique à de nombreux autres sites de réseaux sociaux tels que LinkedIn, Dropbox et les applications qui utilisent ces sites pour authentifier les utilisateurs sur iOS.

Le chercheur en sécurité Gareth Wright a découvert que l'application iOS de Facebook conserve les jetons d'authentification dans un fichier texte brut. Ces jetons sont équivalents au mot de passe que vous utilisez pour vous connecter.

Stocker des jetons d'authentification dans une sauvegarde n'est pas nécessairement une mauvaise idée. Après tout, si vous devez restaurer votre téléphone à partir d'une sauvegarde, il est intéressant de voir tout ce qui est connecté, et le jeton est nécessaire pour cela. Vous pouvez voir comment cela fonctionne avec l'implémentation actuelle de Facebook:

  • Connectez-vous à l'application Facebook sur votre iPhone et sauvegardez-la avec iTunes.
  • Déconnectez-vous de l'application Facebook sur votre iPhone (allez au bas du menu de gauche et cliquez sur Settings > Log Out )
  • Restaurer la sauvegarde iTunes sur votre téléphone

Vous vous verrez connecté. Neat.

Le chemin de l'enfer est pavé de bonnes intentions

Que Facebook stocke son jeton d'authentification dans la sauvegarde ne constitue pas le problème principal. Le plus gros problème est que le jeton n’est pas chiffré , n’a pas d’élément spécifique au périphérique et n’est pas limité dans le temps . Cela signifie que quelqu'un peut extraire le fichier de votre sauvegarde et l'importer sur son propre périphérique. En termes simples, toute personne pouvant accéder à ce fichier peut avoir un accès complet à votre compte Facebook et l'utiliser pour voler votre identité ou suivre votre activité.

De plus, de nombreuses applications et services tiers utilisent Facebook comme service d'authentification. Si un pirate est déjà connecté à votre compte Facebook, il peut également accéder à ces services en l’utilisant.

Facebook a répondu aux agences de presse avec le commentaire suivant, même si elles semblent omettre le risque de piratage de sauvegarde non sécurisé qui, selon nous, est la méthode la plus simple.

Les applications iOS et Android de Facebook sont uniquement destinées au système d'exploitation fourni par le fabricant, et les jetons d'accès ne sont vulnérables que s'ils ont modifié leur système d'exploitation mobile (iOS jailbreaké ou Android modded) ou accordé à un acteur malveillant l'accès au périphérique physique. Nous développons et testons notre application sur une version non modifiée de systèmes d'exploitation mobiles et nous nous appuyons sur les protections natives pour développer, déployer et sécuriser tout ce qui est compromis sur un périphérique jailbreaké. Comme le déclare Apple, "toute modification non autorisée d'iOS pourrait permettre à des pirates de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus". Pour se protéger, nous recommandons à tous les utilisateurs de ne pas modifier leur système d'exploitation mobile pour éviter toute instabilité de l'application ou tout problème de sécurité.

Devrais-tu t'inquiéter? Pour obtenir ce fichier, la personne doit avoir un accès physique à votre appareil iOS ou à un PC avec une sauvegarde stockée non cryptée. Un pirate occasionnel peut ne pas avoir accès à ces informations, mais une personne déterminée peut être en mesure d’organiser un tel accès.

De toute évidence, les éditeurs d’applications tels que Facebook pourraient s’aider eux-mêmes avec:

  • Appliquer un chiffrement supplémentaire aux jetons d'authentification dans la sauvegarde
  • Assurez-vous que les jetons ont un élément spécifique à l'appareil afin qu'ils ne puissent pas être utilisés sur d'autres appareils
  • Définissez les jetons pour une date d'expiration dans un avenir proche
  • Alerter les utilisateurs sur les nouvelles connexions à un service à partir de jetons restaurés

Vous souhaitez examiner votre propre jeton d'authentification Facebook?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor lit le jeton d'authentification Facebook

Vous pouvez le faire en utilisant iPhone Backup Extractor et accéder à votre sauvegarde en "Mode Expert". Vous ne serez pas en mesure de lire les données ou de les utiliser pour vous connecter à Facebook à moins de savoir ce que vous faites - et nous ne les publions pas pour des raisons de sécurité - mais cela ne demande pas grand-chose. comprendre.

Andrew Coles

par Andrew Coles on , last updated

Nous avons aidé plus de 3 millions de gens à récupérer leurs données iPhone perdues. Laissez-nous vous aider aussi.

Related posts

Soumettre un commentaire

© 2008 - 2018 Reincubate Ltd. Enregistrée en Angleterre et au Pays de Galles : #5189175, VAT GB151788978. Construit avec ❤️ à Londres.

Reincubate est une marque déposée. Tous droits réservés. Termes et conditions. Politique de confidentialité. Ce sont vos données, pas les nôtres. Nous recommandons l'authentification multi-facteurs.

close

Pour les utilisateurs personnels

Pour les entreprises et les utilisateurs professionnels

Faites défiler vers le bas pour les plans d'affaires et pro

Basic

$34.95

Support d’iTunes

Fonctionne avec Windows et Mac

Support client

Aperçu des appareils iCloud

ACHETER BASIC

Prime

$69.95

Support d’iCloud et iTunes

Fonctionne avec Windows et Mac

Support client

5 disp. d’iCloud

ACHETEZ PREMIUM
Jonathan

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Expert en criminalistique et iOS

Pour les utilisateurs professionnels et professionnels

Entreprise

$299.95

25 disp. d’iCloud

Support de haute priorité

Licence commerciale

Tous les avantages de plan Premium

ACHETER BUSINESS
ricloud
Démontrer nos API pour l'entreprise

Accès iCloud, outillage d'enquête, récupération en vrac et récupération de données SQLite supprimées ?

Découvrez nos API à reincubate.com.