iPhone 백업에서 안전하지 않은 인증 토큰 저장

게시 됨 업데이트 됨

지난 한 달 간 보안 취약성과 iPhone 추적 과 관련하여 소수의 iOS 앱이 주목을 끌었습니다. 문제의 이슈가 LinkedIn, Dropbox 및 iOS에서 사용자를 인증하기 위해이 사이트를 사용하는 앱과 같은 다른 많은 소셜 네트워크 사이트에도 적용 되기는하지만 이제는 Facebook의 차례입니다.

보안 연구원 가레스 라이트 (Gareth Wright)는 페이스 북의 iOS 앱이 인증 토큰을 일반 텍스트 파일에 보관한다는 사실을 발견했다. 이러한 토큰은 로그인하는 데 사용하는 암호와 같습니다.

백업에 인증 토큰을 저장하는 것은 반드시 나쁜 생각은 아닙니다. 백업에서 휴대 전화를 복원해야하는 경우 결국 로그인 한 모든 항목을 확인하는 것이 좋으며 토큰이 필요합니다. 페이스 북의 현재 구현으로 이것이 어떻게 작동하는지 볼 수 있습니다 :

  • iPhone의 Facebook 응용 프로그램에 로그인하고 iTunes로 백업하십시오.
  • iPhone의 Facebook 앱에서 Log Out 합니다 (왼쪽 메뉴 하단으로 이동하여 SettingsLog Out 클릭하십시오.
  • iTunes 백업을 휴대 전화로 복원하십시오.

다시 로그인했음을 볼 수 있습니다.

지옥의 길은 좋은 의도로 포장되어있다.

Facebook이 인증 토큰을 백업에 저장하는지 여부는 주요 문제가 아닙니다. 여기서 가장 큰 문제는 토큰 이 암호화 되지 않고 장치 특정 요소 가없고 시간 제한이 없다는 것 입니다. 즉, 누군가가 백업에서 파일을 가져 와서 자신의 장치로 가져올 수 있습니다. 간단히 말하자면이 파일에 액세스 할 수있는 모든 사람은 Facebook 계정에 대한 모든 권한을 가질 수 있으며이를 사용하여 신원을 도용하거나 활동을 추적 할 수 있습니다.

이 외에도 많은 타사 앱 및 서비스는 Facebook을 인증 서비스로 사용합니다. 해커가 이미 Facebook 계정에 로그인 한 경우 해커가이를 사용하여 이러한 서비스에 액세스 할 수 있습니다.

Facebook은 가장 쉬운 방법이라고 생각하는 안전하지 않은 백업 해킹의 가능성을 생략 한 것으로 보이지만 다음 의견으로 뉴스 대행사에 응답했습니다.

페이스 북의 iOS 및 안드로이드 애플리케이션은 제조사가 제공 한 운영체제에서만 사용할 수 있으며 액세스 토큰은 모바일 OS (예 : jailbroken iOS 또는 modded Android)를 수정하거나 악의적 인 행위자가 물리적 장치에 액세스하도록 허용 한 경우에만 취약합니다. 우리는 수정되지 않은 버전의 모바일 운영 체제에서 응용 프로그램을 개발 및 테스트하고 개발, 배포 및 보안을위한 토대가되는 원시 보호에 의존합니다. 이러한 모든 것은 jailbroken 장치에서 손상됩니다. Apple은 "iOS를 무단으로 수정하면 해커가 개인 정보를 도용하거나 맬웨어 또는 바이러스를 유출시킬 수 있습니다." 자신을 보호하기 위해 모든 사용자가 응용 프로그램의 불안정성이나 보안 문제를 방지하기 위해 모바일 OS 수정을 삼가하는 것이 좋습니다.

걱정해야합니까? 이 파일을 얻으려면 iOS 장치 나 암호화되지 않은 저장된 백업이있는 PC에 물리적으로 액세스 할 수 있어야합니다. 일시적인 해커가 액세스 할 수는 없지만 결정된 사람은 이러한 액세스를 정렬 할 수 있습니다.

분명히 페이스 북과 같은 앱 퍼블리셔는 다음과 같은 것을 스스로 도울 수있다.

  • 백업시 인증 토큰에 추가 암호화 적용
  • 토큰에 다른 장치에서 사용할 수 없도록 장치 별 요소가 있는지 확인하십시오.
  • 가까운 미래에 만료 날짜를 갖도록 토큰 설정
  • 복원 된 토큰에서 서비스에 대한 새로운 로그인 알림

자신의 Facebook 인증 토큰을 검사하고 싶습니까?

iPhone Backup Extractor reading the Facebook auth token
Facebook 인증 토큰을 읽는 iPhone Backup Extractor

iPhone 백업 추출기를 사용하고 "전문가 모드"에서 백업에 액세스하여이 작업을 수행 할 수 있습니다. 자신이하는 일을 알지 못하면 데이터를 읽거나 페이스 북에 로그인 할 수 없으며 보안상의 이유로 게시 방법을 공개하지 않았지만 그것을 알아 내라.

About the author

Andy Coles has been building and documenting iPhone Backup Extractor since it was first released. He's made a number of discoveries in the field of data recovery, most notably techniques for transferring data between iPhone backups.

버킹검 궁전에서 Reincubate의 CEO

위에 나온 사진은 애플 기술에 대한 영국 최고의 사업 상을 수상한 Reincubate 팀 회의 인 Buckingham Palace의 Elizabeth Ⅱ 여왕입니다. 개인 정보 보호, 안전 및 보안 에 관한 우리의 입장을 읽으십시오.

우리는 3 백만 명이 넘는 사람들이 잃어버린 iPhone 데이터를 복구하는 것을 도왔습니다. 우리를 도와 줘요.

지금 다운로드

또는 그것을 위해 얻을 맥 OS

관련된 컨텐츠

이 기사를 개선 할 수 있습니까?

사용자의 의견을 듣고 싶습니다. 전자 메일을 보내지 말고, 의견을 남기거나, 트윗하지 마십시오. @reincubate?

© 2008 - 2019 Reincubate Ltd. 판권 소유. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. 개인 정보 및 이용 약관. 우리는 2FA를 권장합니다. 런던에서 Built로 지어졌습니다.

close

개인 사용자 용

기업 및 프로 사용자

비즈니스 및 프로 계획을 위해 아래로 스크롤하십시오.

기본

$39.95

iTunes 지원

Windows 및 Mac에서 작동합니다.

고객 지원

iCloud 기기 목록 미리보기

기본 구입

프리미엄

$69.95

iCloud 및 iTunes 지원

Windows 및 Mac에서 작동합니다.

고객 지원

5 개의 iCloud 장치

프리미엄 구입
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

법의학 및 iOS 전문가

비즈니스 및 프로 사용자

사업

$299.95

25 대의 iCloud 장치

우선 순위가 높은 고객 지원

상업 라이센스

프리미엄 플랜의 모든 혜택

사업 구입
ricloud logo
기업용 API 데모

iCloud 액세스, 법의학 툴링, 삭제 된 SQLite 데이터의 대량 복구가 필요합니까?

에서 API에 대해 자세히 알아보기 reincubate.com.