Una falla di sicurezza nelle applicazioni di Facebook su iPhone ed Android può essere facilmente sfruttata dai ladri alla ricerca di informazioni personali sugli utenti.
A quanto sembra l’applicazione di Facebook dedicata ai dispositivi iOS e Android non crittografa le credenziali di accesso, rendendola un facile bersaglio per le applicazioni truffa o per le penne usb sulle quali sono contenuti programmi di furto dati.
Il buco di sicurezza è stato scoperto da Gareth Wright, uno sviluppatore inglese di applicazioni per i device iOS e Android. Wright, scrivendo in un blog, ha detto di aver scoperto la falla mentre rovistava alcune delle directory del suo iPhone con uno strumento gratuito. Nel corso della sua ricerca, ha scoperto un token di accesso di Facebook in uno dei giochi del suo telefono.
Dopo aver copiato il codice del token, l’ha usato per estrarre informazioni dal social network, utilizzando il linguaggio di query di Facebook. ”Ho potuto estrapolare praticamente tutte le informazioni dal mio account di Facebook“, ha scritto. E se poteva farlo lui, sicuramente poteva farlo chi ha introdotto il token all’interno dell’app.
L’esperienza di Wright con il token ha stimolato la sua curiosità in merito all’applicazione di Facebook. Rovistando nella directory dell’app, ha osservato che “ciò che era contenuto all’interno era scioccante“. All’interno dell’applicazione, infatti, pare ci fosse un file di testo contenente le impostazioni di un utente. Come esperimento, Wright ha mandato il suo plist ad un amico. L’amico ha sostituito il plist di Wright con il proprio.
“Sono rimasto a bocca aperta, quando ho guardato i messaggi apparire sulla mia bacheca, i messaggi privati ricevuti, le pagine web e le applicazioni che mi erano piaciute,” ha scritto Wright.
Wright ha deciso di illustrare come un hacker potrebbe raccogliere plists dai telefoni. Ha scritto un codice che potrebbe essere utilizzato per infettare i PC, software, addirittura anche un dock per l’altoparlante. Il codice potrebbe essere facilmente ottimizzato per copiare le liste.
Lo sviluppatore ha informato Facebook del difetto e il gigante del social networking ha comunicato che sta lavorando ad un fix. Ma, Wright ha osservato che, anche se Facebook apporta modifiche alle sue app ufficiali, i suoi membri saranno ancora esposti a un attacco hacker, proprio attraverso il token di testo che molti sviluppatori memorizzano.
All’inizio di quest’anno, l’app Android di Facebook è stata considerata come un’app spia, anche se Facebook ha negato l’intera vicenda.
Via | MacWorld
Leggi o Aggiungi Commenti