Default post cover image

Facebook archivia token di autenticazione non sicuri nei backup di iPhone

Andrew Coles

di Andrew Coles

Nell'ultimo mese circa, una manciata di app iOS sono state sotto i riflettori per quanto riguarda i punti deboli della sicurezza e il monitoraggio dell'iPhone . Ora è il turno di Facebook, anche se il problema in questione si applica a molti altri siti di social network come LinkedIn, Dropbox e app che utilizzano questi siti per autenticare gli utenti su iOS.

Gareth Wright, ricercatore per la sicurezza, ha trovato l'app per iOS di Facebook che conserva i token di autenticazione in un file di testo normale. Questi token sono equivalenti alla password che usi per accedere.

Memorizzare i token di autenticazione in un backup non è necessariamente una cattiva idea. Dopotutto, se devi ripristinare il tuo telefono da un backup, è bello vedere tutto che ha effettuato l'accesso così com'era e il token è necessario per farlo. Puoi vedere come funziona con l'attuale implementazione di Facebook:

  • Accedi all'app Facebook sul tuo iPhone e esegui il backup con iTunes
  • Esci dall'app Facebook sul tuo iPhone (vai in fondo al menu a sinistra e fai clic su Settings > Log Out )
  • Ripristina il backup di iTunes sul tuo telefono

Vedrai che ti sei registrato nuovamente. Neat.

la strada per l'inferno è lastricata di buone intenzioni

Se Facebook memorizza il suo token di autenticazione nel backup non è il problema principale. Il problema più grande qui è che il token non è crittografato , non ha un elemento specifico del dispositivo e non è limitato nel tempo . Ciò significa che qualcuno potrebbe estrarre il file dal backup e importarlo sul proprio dispositivo. In termini semplici, chiunque possa accedere a questo file può avere accesso completo al tuo account Facebook e usarlo per rubare la tua identità o tracciare la tua attività.

Oltre a questo, molte app e servizi di terze parti utilizzano Facebook come servizio di autenticazione. Se un hacker ha già effettuato l'accesso al tuo account Facebook, potrebbe anche accedere a questi servizi che lo utilizzano.

Facebook ha risposto alle agenzie di stampa con il seguente commento, anche se sembrano omettere la probabilità di hacking di backup non sicuro che riteniamo sia il metodo più semplice.

Le applicazioni iOS e Android di Facebook sono destinate esclusivamente al sistema operativo fornito dal produttore e i token di accesso sono vulnerabili solo se hanno modificato il proprio sistema operativo mobile (ad esempio iOS jailbroken o Android modded) o hanno concesso a un utente malintenzionato l'accesso al dispositivo fisico. Sviluppiamo e testiamo la nostra applicazione su una versione non modificata di sistemi operativi mobili e facciamo affidamento sulle protezioni native come base per lo sviluppo, l'implementazione e la sicurezza, il tutto compromesso su un dispositivo jailbroken. Come afferma Apple, "la modifica non autorizzata di iOS potrebbe consentire agli hacker di rubare informazioni personali ... o introdurre malware o virus". Per proteggersi, consigliamo a tutti gli utenti di astenersi dal modificare il proprio sistema operativo mobile per prevenire eventuali problemi di sicurezza o di instabilità dell'applicazione.

Dovresti essere preoccupato? Per ottenere questo file, la persona deve avere accesso fisico al tuo dispositivo iOS o a un PC con un backup archiviato non crittografato. Un hacker occasionale potrebbe non avere accesso a questi, ma uno determinato potrebbe essere in grado di organizzare tale accesso.

Chiaramente, gli editori di app come Facebook potrebbero aiutare se stessi con quanto segue:

  • Applicare ulteriore crittografia ai token di autenticazione nel backup
  • Assicurati che i token abbiano un elemento specifico del dispositivo in modo che non possano essere utilizzati su altri dispositivi
  • Imposta i token per avere una data di scadenza in un prossimo futuro
  • Avvisa gli utenti di nuovi accessi a un servizio da token ripristinati

Vuoi esaminare il tuo token di autenticazione di Facebook?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor leggendo il token di autenticazione di Facebook

Puoi farlo utilizzando iPhone Backup Extractor e accedendo al tuo backup in "Modalità esperto". Non sarai in grado di leggere i dati o usarli per accedere a Facebook a meno che tu non sappia cosa stai facendo - e abbiamo sospeso la pubblicazione su come farlo per ragioni di sicurezza - ma non ci vuole molto per capirlo.

Andrew Coles

di Andrew Coles on , last updated

Abbiamo aiutato oltre 3.000.000 di persone a recuperare i loro dati iPhone persi. Lascia che ti aiutiamo anche noi.

Invia un commento

© 2008 - 2018 Reincubate Ltd. Registrato in Inghilterra e Galles: #5189175, VAT GB151788978. Costruito con ❤️ a Londra.

Reincubare è un marchio registrato. Tutti i diritti riservati. Termini & Condizioni. politica sulla riservatezza. Sono i tuoi dati, non i nostri. Raccomandiamo 2FA.

close

Per utenti personali

Per le aziende e gli utenti professionali

Scorri verso il basso per business e piani professionali

Di base

$34.95

supporto iTunes

Funziona con Windows e Mac

Servizio Clienti

Anteprima dell'elenco dei dispositivi iCloud

ACQUISTA DI BASE

premio

$69.95

iCloud e supporto iTunes

Funziona con Windows e Mac

Servizio Clienti

5 dispositivi iCloud

ACQUISTA PREMIUM
Jonathan

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Forense e esperto di iOS

Per utenti business e pro

Attività commerciale

$299.95

25 dispositivi iCloud

Assistenza clienti ad alta priorità

Licenza commerciale

Tutti i vantaggi del nostro piano premium

ACQUISTA IL BUSINESS
ricloud
Demo le nostre API per l'azienda

Hai bisogno di accesso iCloud, strumenti forensi, recupero in blocco di dati SQLite cancellati?

Scopri le nostre API a reincubate.com.