Facebook armazena tokens de autenticação insegura nos backups do iPhone

Andy Coles

Por Andy Coles

Publicados

Atualizada

Veja como estou qualificado para escrever este artigo

Ao longo do último mês, um punhado de aplicativos iOS ficou sob os holofotes no que diz respeito a falhas de segurança e rastreamento do iPhone . Agora é a vez do Facebook, embora o problema em questão se aplique a muitos outros sites de redes sociais como o LinkedIn, Dropbox e aplicativos que usam esses sites para autenticar usuários no iOS.

O pesquisador de segurança Gareth Wright descobriu que o aplicativo para iOS do Facebook mantém os tokens de autenticação em um arquivo de texto simples. Esses tokens são equivalentes à senha que você usa para efetuar login.

Armazenar tokens de autenticação em um backup não é necessariamente uma má ideia. Afinal, se você precisar restaurar seu telefone a partir de um backup, é bom ver tudo registrado como estava e o token é necessário para isso. Você pode ver como isso funciona com a implementação atual do Facebook:

  • Faça login no aplicativo do Facebook no seu iPhone e faça o backup com o iTunes
  • Saia do aplicativo do Facebook no seu iPhone (vá para a parte inferior do menu à esquerda e clique em SettingsLog Out
  • Restaure o backup do iTunes para o seu telefone

Você verá que está logado de volta. Legal.

O caminho para o inferno é pavimentado com boas intenções

Se o Facebook armazena seu token de autenticação no backup não é o principal problema. O maior problema aqui é que o token não é criptografado , não tem um elemento específico do dispositivo e não é limitado por tempo . Isso significa que alguém pode retirar o arquivo do seu backup e importá-lo para o próprio dispositivo. Em termos simples, qualquer pessoa que possa acessar esse arquivo pode ter acesso total à sua conta do Facebook e usá-la para roubar sua identidade ou rastrear sua atividade.

Além disso, muitos aplicativos e serviços de terceiros usam o Facebook como um serviço de autenticação. Se um hacker já estiver conectado à sua conta do Facebook, ele também poderá acessar esses serviços usando-o.

O Facebook respondeu às agências de notícias com o seguinte comentário, embora elas pareçam omitir a probabilidade de um hacking de backup inseguro, que achamos ser o método mais fácil.

Os aplicativos iOS e Android do Facebook destinam-se apenas ao uso do sistema operacional fornecido pela fabricação, e os tokens de acesso só ficam vulneráveis se tiverem modificado seu sistema operacional móvel (ou seja, iOS desbloqueado ou Android modificado) ou concedido acesso de ator mal-intencionado ao dispositivo físico. Desenvolvemos e testamos nosso aplicativo em uma versão não modificada dos sistemas operacionais móveis e confiamos nas proteções nativas como base para o desenvolvimento, a implantação e a segurança, todas comprometidas em um dispositivo desbloqueado. Como a Apple afirma, "modificações não autorizadas do iOS podem permitir que hackers roubem informações pessoais ... ou introduzam malware ou vírus". Para se proteger, recomendamos que todos os usuários se abstenham de modificar seu sistema operacional móvel para evitar qualquer instabilidade de aplicativo ou problemas de segurança.

Você deveria estar preocupado? Para obter esse arquivo, a pessoa deve ter acesso físico ao seu dispositivo iOS ou a um PC com um backup armazenado não criptografado. Um hacker casual pode não ter acesso a eles, mas um determinado pode conseguir esse acesso.

Claramente, os editores de aplicativos, como o Facebook, podem se ajudar com o seguinte:

  • Aplicar criptografia adicional aos tokens de autenticação no backup
  • Assegure-se de que os tokens tenham um elemento específico do dispositivo para que eles não possam ser usados ​​em outros dispositivos
  • Defina os tokens para ter uma data de expiração em um futuro próximo
  • Alertar usuários para novos logins para um serviço a partir de tokens restaurados

Quer examinar seu próprio token de autenticação do Facebook?

iPhone Backup Extractor reading the Facebook auth token
Extrator de backup do iPhone lendo o token de autenticação do Facebook

Você pode fazer isso usando o iPhone Backup Extractor e acessando o seu backup no "Expert Mode". Você não poderá ler os dados nem usá-los para entrar no Facebook, a menos que saiba o que está fazendo - e tenhamos impedido a publicação de como fazer isso por motivos de segurança -, mas não é preciso muito para entender.

Sobre o autor

Andy Coles has been building and documenting iPhone Backup Extractor since it was first released. He's made a number of discoveries in the field of data recovery, most notably techniques for transferring data between iPhone backups.

CEO da Reincubate no Palácio de Buckingham

Na foto acima, há membros da equipe de Reincubate que se reúnem com o HM Queen Elizabeth no Buckingham Palace, depois de receber o prêmio mais alto do Reino Unido por nosso trabalho com a tecnologia da Apple. Leia nossa posição sobre privacidade, segurança e proteção .

Ajudamos mais de 3.000.000 de pessoas a recuperar seus dados perdidos do iPhone. Deixe-nos ajudá-lo também.

Baixe Agora

ou obtê-lo para Mac OS

Conteúdo Relacionado

Podemos melhorar este artigo?

Adoramos ouvir os usuários: por que não nos enviar um e-mail, deixar um comentário ou twittar? @reincubate?

© 2008 - 2019 Reincubate Ltd. Todos os direitos reservados. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. Privacidade e Termos. Recomendamos 2FA. Construído com em Londres.

close

Para usuários pessoais

Para empresas e usuários profissionais

Role para baixo para negócios e planos pro

Basic

$39.95

suporte ao iTunes

Funciona com o Windows e Mac

Suporte ao cliente

Visualizar lista de dispositivos do iCloud

COMPRE BÁSICO

Prêmio

$69.95

Suporte para iCloud e iTunes

Funciona com o Windows e Mac

Suporte ao cliente

5 dispositivos iCloud

COMPRAR PREMIUM
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Perito forense e especialista em iOS

Para usuários profissionais e profissionais

O negócio

$299.95

25 dispositivos iCloud

Suporte ao cliente de alta prioridade

Licença comercial

Todos os benefícios do nosso plano premium

COMPRAR NEGÓCIOS
ricloud logo
Demonstrar nossas APIs para empresas

Precisa de acesso ao iCloud, ferramentas forenses, recuperação em massa de dados SQLite excluídos?

Saiba mais sobre nossas APIs em reincubate.com.