Default post cover image

iPhone 백업에서 안전하지 않은 인증 토큰 저장

Andrew Coles

으로 Andrew Coles

지난 한 달 간 보안 취약성과 iPhone 추적 과 관련하여 소수의 iOS 앱이 주목을 끌었습니다. 문제의 이슈가 LinkedIn, Dropbox 및 iOS에서 사용자를 인증하기 위해이 사이트를 사용하는 앱과 같은 다른 많은 소셜 네트워크 사이트에도 적용 되기는하지만 이제는 Facebook의 차례입니다.

보안 연구원 가레스 라이트 (Gareth Wright)는 페이스 북의 iOS 앱이 인증 토큰을 일반 텍스트 파일에 보관한다는 사실을 발견했다. 이러한 토큰은 로그인하는 데 사용하는 암호와 같습니다.

백업에 인증 토큰을 저장하는 것은 반드시 나쁜 생각은 아닙니다. 백업에서 휴대 전화를 복원해야하는 경우 결국 로그인 한 모든 항목을 확인하는 것이 좋으며 토큰이 필요합니다. 페이스 북의 현재 구현으로 이것이 어떻게 작동하는지 볼 수 있습니다 :

  • iPhone의 Facebook 앱에 로그인하여 iTunes로 백업하십시오.
  • iPhone의 Facebook 앱에서 Log Out 하십시오 (왼쪽 메뉴 하단으로 이동하여 Settings > Log Out 클릭하십시오).
  • iTunes 백업을 휴대 전화로 복원하십시오.

다시 로그인했음을 볼 수 있습니다.

지옥의 길은 좋은 의도로 포장되어있다.

Facebook이 인증 토큰을 백업에 저장하는지 여부는 주요 문제가 아닙니다. 여기서 가장 큰 문제는 토큰 이 암호화 되지 않고 장치 특정 요소 가없고 시간 제한이 없다는 것 입니다. 즉, 누군가가 백업에서 파일을 가져 와서 자신의 장치로 가져올 수 있습니다. 간단히 말하자면이 파일에 액세스 할 수있는 모든 사람은 Facebook 계정에 대한 모든 권한을 가질 수 있으며이를 사용하여 신원을 도용하거나 활동을 추적 할 수 있습니다.

이 외에도 많은 타사 앱 및 서비스는 Facebook을 인증 서비스로 사용합니다. 해커가 이미 Facebook 계정에 로그인 한 경우 해커가이를 사용하여 이러한 서비스에 액세스 할 수 있습니다.

Facebook은 가장 쉬운 방법이라고 생각하는 안전하지 않은 백업 해킹의 가능성을 생략 한 것처럼 보일지라도 다음 의견으로 뉴스 대행사에 응답했습니다.

페이스 북의 iOS 및 안드로이드 애플리케이션은 제조사가 제공 한 운영체제에서만 사용할 수 있으며 액세스 토큰은 모바일 OS (예 : jailbroken iOS 또는 modded Android)를 수정했거나 악의적 인 행위자가 물리적 장치에 액세스하도록 허용 한 경우에만 취약합니다. 우리는 모바일 운영 체제의 수정되지 않은 버전에서 응용 프로그램을 개발하고 테스트하며 개발, 배포 및 보안을위한 토대가되는 기본 보호에 의존합니다. 이러한 모든 것은 jailbroken 장치에서 손상됩니다. Apple은 "iOS를 무단으로 수정하면 해커가 개인 정보를 도용하거나 악성 코드 나 바이러스를 유출시킬 수 있습니다." 자신을 보호하기 위해 모든 사용자가 모바일 OS를 수정하지 말고 응용 프로그램의 불안정성이나 보안 문제를 방지 할 것을 권장합니다.

걱정해야합니까? 이 파일을 얻으려면 iOS 장치 나 암호화되지 않은 저장된 백업이있는 PC에 물리적으로 액세스 할 수 있어야합니다. 일시적인 해커가 액세스 할 수는 없지만 결정된 사람은 이러한 액세스를 정렬 할 수 있습니다.

분명히 페이스 북과 같은 앱 퍼블리셔는 다음과 같은 것을 스스로 도울 수있다.

  • 백업시 인증 토큰에 추가 암호화 적용
  • 토큰에 다른 장치에서 사용할 수 없도록 장치 별 요소가 있는지 확인하십시오.
  • 가까운 미래에 만료 날짜를 갖도록 토큰 설정
  • 복원 된 토큰에서 서비스에 대한 새로운 로그인 알림

자신의 Facebook 인증 토큰을 검사하고 싶습니까?

iPhone Backup Extractor reading the Facebook auth token
페이스 북의 인증 토큰을 읽는 iPhone Backup Extractor

iPhone 백업 추출기를 사용하고 "전문가 모드"에서 백업에 액세스하여이 작업을 수행 할 수 있습니다. 자신이하는 일을 알지 못하면 데이터를 읽거나 페이스 북에 로그인 할 수 없으며 보안상의 이유로 게시 방법을 공개하지 않았지만 그것을 알아 내라.

Andrew Coles

으로 Andrew Coles on , last updated

우리는 3 백만 명이 넘는 사람들이 잃어버린 iPhone 데이터를 복구하는 것을 도왔습니다. 우리를 도와 줘요.

Related posts

의견 제출

© 2008 - 2018 Reincubate Ltd. 영국 및 웨일즈에서 등록 : #5189175, VAT GB151788978. 런던에서 ❤ Built로 지어졌습니다.

Reincubate는 등록 상표입니다. 판권 소유. 이용 약관. 개인 정보 정책. 그것은 우리의 것이 아니라 당신의 데이터입니다. 우리는 2FA를 권장합니다.

close

개인 사용자 용

기업 및 프로 사용자

비즈니스 및 프로 계획을 위해 아래로 스크롤하십시오.

기본

$34.95

iTunes 지원

Windows 및 Mac에서 작동합니다.

고객 지원

iCloud 기기 목록 미리보기

기본 구입

프리미엄

$69.95

iCloud 및 iTunes 지원

Windows 및 Mac에서 작동합니다.

고객 지원

5 개의 iCloud 장치

프리미엄 구입
Jonathan

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

법의학 및 iOS 전문가

비즈니스 및 프로 사용자

사업

$299.95

25 대의 iCloud 장치

우선 순위가 높은 고객 지원

상업 라이센스

프리미엄 플랜의 모든 혜택

사업 구입
ricloud
기업용 API 데모

iCloud 액세스, 법의학 툴링, 삭제 된 SQLite 데이터의 대량 복구가 필요합니까?

에서 API에 대해 자세히 알아보기 reincubate.com.