Facebook在iPhone备份中存储不安全的身份验证令牌

Andrew Coles

由 Andrew Coles

在过去一个月左右的时间里,一些iOS应用程序在安全漏洞和iPhone跟踪方面受到关注。现在它已经转向Facebook了,虽然这个问题适用于许多其他社交网站,例如LinkedIn,Dropbox以及使用这些网站对iOS用户进行身份验证的应用程序。

安全研究员Gareth Wright发现Facebook的iOS应用程序在纯文本文件中保存身份验证令牌。这些令牌等同于您用于登录的密码。

在备份中存储身份验证令牌不一定是个坏主意。毕竟,如果你必须从备份恢复你的手机,很高兴看到所有登录的状态,并且令牌是必要的。你可以看到它如何与Facebook的当前实现一起工作:

  • Log in to the Facebook app on your iPhone, and back it up with iTunes
  • Log out of the Facebook app on your iPhone (go to the bottom of the left menu and click SettingsLog Out
  • Restore the iTunes backup to your phone

你会看到你重新登录。整洁。

地狱之路铺好了意图

Facebook是否将其身份验证令牌存储在备份中并不是主要问题。这里最大的问题是令牌未加密没有特定于设备的元素 ,并且没有时间限制 。这意味着有人可以从备份中提取文件并将其导入自己的设备。简单来说,任何能够访问此文件的人都可以完全访问您的Facebook帐户,并使用它来窃取您的身份或跟踪您的活动。

除此之外,许多第三方应用和服务使用Facebook作为身份验证服务。如果黑客已经登录到您的Facebook帐户,他们也可以使用它来访问这些服务。

Facebook has replied to news agencies with the following comment, although they seem to omit the likelihood of insecure backup hacking which we think is the easiest method.

Facebook的iOS和Android应用程序仅用于制造商提供的操作系统,并且访问令牌只有在修改了他们的移动操作系统(即越狱的iOS或改装的Android)或授予恶意行为者访问物理设备时才容易受到攻击。我们在未修改版本的移动操作系统上开发和测试我们的应用程序,并依赖本机保护作为开发,部署和安全的基础,所有这些都在越狱设备上受到损害。正如苹果公司所说,“未经授权的iOS修改可能会让黑客窃取个人信息......或者引入恶意软件或病毒。”为了保护自己,我们建议所有用户不要修改他们的移动操作系统,以防止任何应用程序不稳定或安全问题。

你应该担心吗?要获取此文件,此人必须具有对您的iOS设备或具有未加密存储备份的PC的物理访问权限。一个随意的黑客可能无法访问这些,但一个坚定的黑客可能能够安排这样的访问。

显然,Facebook等应用发布商可以帮助自己完成以下工作:

  • 对备份中的身份验证令牌应用其他加密
  • 确保令牌具有特定于设备的元素,以便它们不能在其他设备上使用
  • 将令牌设置为在不久的将来具有到期日期
  • 通过恢复的令牌向用户提醒新登录服务

想要检查自己的Facebook身份验证令牌?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor reading the Facebook auth token

您可以使用iPhone备份提取器执行此操作,并在“专家模式”下访问备份。除非您知道自己在做什么,否则您将无法读取数据或使用它来登录Facebook - 我们已经隐瞒了出于安全原因而发布的如何执行此操作 - 但这并不需要太多想办法。

Andrew Coles

由 Andrew Coles on , last updated

我们曾经帮助过 3,000,000 多人恢复其丢失的 iPhone 数据。 所以我们也能为您排忧解难。

Related posts

提交评论

© 2008 - 2019 Reincubate Ltd. 保留所有权利。 已在英格兰和威尔士注册 #5189175, VAT GB151788978. Reincubate® 是注册商标。 隐私权和条款. 我们推荐多因素认证。 在伦敦建立了爱情。

close

個人ユーザー向け

对于企业和专业用户

向下滚动以查看业务和专业计划

基本

$39.95

iTunes支持

兼容Windows的Mac设备

客户支持

预览iCloud设备列表

得到BASIC

额外费用

$69.95

全面的iCloud和iTunes支持

兼容Windows的Mac设备

客户支持

5 台iCloud设备

购买PREMIUM
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

取证和iOS专家

适用于商业和专业用户

Business

$299.95

25个iCloud设备

高优先级的客户支持

商业许可证

我们的“Premium”计划的所有好处

购买BUSINESS
ricloud logo
演示我们的企业API

iCloud 访问、司法鉴定工具、批量恢复,还是恢复被删的 SQLite 数据?

了解我们的API reincubate.com.