Default post cover image

iPhoneのバックアップで安全でない認証トークンをFacebookストアに保存する

Andrew Coles

Andrew Coles

ここ数ヶ月の間、セキュリティの弱点やiPhoneの追跡に関して、いくつかのiOSアプリが脚光を浴びていました。問題の問題は、LinkedIn、Dropbox、これらのサイトを使ってiOS上のユーザーを認証するアプリなどの他の多くのソーシャルネットワークサイトにも当てはまるものの、今はFacebookの順番だ。

セキュリティ研究者のGareth Wright氏によると、FacebookのiOSアプリケーションでは、認証トークンがプレーンテキストファイルに保存されています。これらのトークンは、ログインに使用するパスワードと同等です。

バックアップに認証トークンを格納することは、必ずしも悪い考えではありません。結局のところ、あなたがバックアップからあなたの携帯電話を復元する必要がある場合は、それがあったとしてログインしたすべてを見ていいです、そしてトークンはこれを行う必要があります。これはFacebookの現在の実装でどのように動作するかを見ることができます:

  • あなたのiPhoneのFacebookアプリケーションにログインし、iTunesでバックアップしてください
  • iPhoneのFacebookアプリケーションからログアウトします(左メニューの一番下にある[ Settings > Log Out ]をクリックします)
  • iTunesバックアップをあなたの電話に復元する

あなたはあなたがログインしているのを見るでしょう。

地獄への道は善意で舗装されている

Facebookが認証トークンをバックアップに保存するかどうかは、主な問題ではありません。ここでの最大の問題は、トークンが暗号化されて おらず、デバイス固有の要素を持たず時間制限がないことです。つまり、誰かがあなたのバックアップからファイルを取り出し、それを自分のデバイスにインポートすることができます。簡単に言えば、このファイルにアクセスできる人はあなたのFacebookアカウントに完全にアクセスでき、それを使ってあなたの身元を盗んだり、あなたの活動を追跡したりすることができます。

これに加えて、多くのサードパーティのアプリやサービスでは、Facebookを認証サービスとして使用しています。ハッカーが既にあなたのFacebookアカウントにサインインしている場合、ハッカーはそれを使ってこれらのサービスにアクセスすることもできます。

Facebookは、最も簡単な方法であると思われる安全でないバックアップハッキングの可能性を省略しているように見えるものの、以下のコメントでニュースエージェンシーに返答しました。

FacebookのiOSとAndroidアプリケーションは製造元が提供するオペレーティングシステムでの使用のみを目的としており、アクセストークンはモバイルOS(jailbroken iOSやmodded Android)を変更した場合や、悪意のあるアクターが物理デバイスにアクセスした場合にのみ脆弱です。私たちは、モバイル・オペレーティング・システムの無修正バージョンでアプリケーションを開発し、テストし、開発、デプロイ、セキュリティの基礎としてネイティブ・プロテクションを利用しています。これらのすべては、脱獄されたデバイスで妥協されます。 Appleが述べているように、「iOSを不正に改変すると、ハッカーが個人情報を盗み出したり、マルウェアやウイルスを導入する可能性があります。自分自身を守るために、すべてのユーザーがアプリケーションの不安定やセキュリティの問題を防ぐために、モバイルOSの変更を控えてください。

あなたは心配すべきですか?このファイルを取得するには、iOSデバイスまたは暗号化されていないバックアップを保存したPCに物理的にアクセスできる必要があります。カジュアルなハッカーはそれらにアクセスできないかもしれないが、決定されたハッカーはそのようなアクセスを手配できるかもしれない。

明らかに、Facebookなどのアプリの出版社は、次のように自分自身を助けることができます:

  • バックアップの認証トークンに追加の暗号化を適用する
  • トークンに他のデバイスで使用できないように、デバイス固有の要素があることを確認する
  • 近い将来にトークンの有効期限を設定する
  • 復元されたトークンからサービスへの新しいログインをユーザに警告する

自分のFacebook認証トークンを調べたいですか?

iPhone Backup Extractor reading the Facebook auth token
Facebook認証トークンを読んでいるiPhone Backup Extractor

これは、iPhone Backup Extractorを使用して、「エキスパートモード」でバックアップにアクセスすることで実行できます。あなたが何をしているのか分からない限り、データを読んだり、Facebookにサインインしたりすることはできません。セキュリティ上の理由から出版を控えていますが、それを理解する。

Andrew Coles

Andrew Coles on , last updated

私たちは、3,000,000 以上の人々が彼らの失われたiPhoneのデータを回復する支援してきました。私たちはあまりにもあなたを助けましょう。

Related posts

コメントを投稿する

© 2008 - 2018 Reincubate Ltd. イングランドとウェールズで登録済み: #5189175, VAT GB151788978. ロンドンで愛と建てられた。

Reincubate は登録商標です。 無断複写・転載を禁じます。 利用規約. 個人情報保護方針. それはあなたのデータであり、我々のデータではありません。 マルチファクタ認証をお勧めします。

close

個人ユーザー向け

企業やプロユーザー向け

ビジネスやプロ計画のためにスクロールダウン

ベーシック

$34.95

iTunesのサポート

WindowsとMacで動作します

顧客サポート

iCloudデバイスリストのプレビュ

購入BASIC

プレミアム

$69.95

完全なiCloudとiTunesサポート

WindowsとMacで動作します

顧客サポート

5 iCloudデバイス

購入PREMIUM
Jonathan

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

フォレンジックとiOSの専門家

ビジネスユーザーおよびプロユーザー向け

Business

$299.95

25台のiCloudデバイス

優先度の高い顧客サポート

商用ライセンス

プレミアムプランの利点すべて

購入 BUSINESS
ricloud
エンタープライズ用のAPIをデモする

iCloud アクセス、科学捜査機関使用のツール、一括復元、削除された SQLite データの復元の必要がありますか?

APIの詳細は reincubate.com.