Facebook, problemi di sicurezza con l'applicazione per iOs e Android

Facebook, problemi di sicurezza con l'applicazione per iOs e Android

Secondo quanto diffuso nelle ultime ore un ricercatore americano avrebbe scoperto una falla di sicurezza nelle applicazioni per iOS e Android di Facebook che permetterebbe l'accesso alle informazioni riguardanti l'account dell'utene

di Davide Fasola pubblicata il , alle 17:21 nel canale Telefonia
 

Secondo quanto dichiarato in queste ore da diverse testate online un ricercatore di nome Gareth Wright avrebbe scoperto una spiacevole falla di sicurezza nell'applicazione per dispositivi Android e iOS del social network attualmente più utilizzato al mondo, ovvero Facebook.

Stando alle dichiarazione di Wright, un hacker che ne avesse le capacità potrebbe tranquillamente copiare da un dato terminale in un file di testo le informazioni che gli garantirebbero l'accesso all'account facebook del possessore del dispositivo.
Il problema sarebbe, secondo le voci, insito nell'applicazione stessa. All'interno del sofware in questione, infatti, i dati relativi al proprio account non sarebbero per nulla protetti o criptati e sarebbero anzi completamente raggiungibili anche senza aver accesso al telefono.

Secondo lo stesso Facebook tuttavia, il problema affliggerebbe soltanto i terminali per i quali è stata effettuata una operazione di jailbreak, in quanto l'applicazione è stata sviluppata per funzionare correttamente con la versione originale del software e non con versioni di terze parti. Utilizzando una versione "sbloccata" del software verrebbero quindi meno i sistemi posti a protezione dei dati sensibili. Queste le dichiarazioni dei vertici della compagnia:

'Facebook's iOS and Android applications are only intended for use with the manufacturer provided operating system, and access tokens are only vulnerable if they have modified their mobile OS (i.e. jailbroken iOS or modded Android) or have granted a malicious actor access to the physical device.

We develop and test our application on an unmodified version of mobile operating systems and rely on the native protections as a foundation for development, deployment and security, all of which is compromised on a jailbroken device.'

In realtà, come dimostrato dallo stesso Wright non è affatto necessario che il software del terminale sia stato modificato. Le protezioni del vostro terminale possono infatti essere aggirate senza troppi problemi anche utilizzando un software come iExplore (lo stesso utilizzato da Wright per scoprire il problema), il quale non necessita l'operazione di jailbreak del terminale.

Ma non è finita qui, lo stesso problema, come evidenziato da The Next Web, affliggerebbe infatti anche il servizio di storage in cloud Dropbox che, come per qualto riguarda Facebook permetterebbe senza troppi problemi l'accesso alle proprie informazioni di contatto. Per il momento non possiamo fare altro che stare attenti a quello che accade ai nostri profili e attendere un aggiornamento delle due applicazioni da parte di Facebook e Dropbox.

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TheDarkMelon06 Aprile 2012, 17:26 #1
ahahah e noi utenti di WP ce la ridiamo!!
Unrealizer06 Aprile 2012, 17:35 #2
Originariamente inviato da: TheDarkMelon
ahahah e noi utenti di WP ce la ridiamo!!


Caaaalma… sono abbastanza sicuro che le informazioni memorizzate dal SO siano decisamente al sicuro, ma ricorda che c'è pur sempre l'applicazione… Infatti leggendo la notizia stavo già pensando di andare a ravanare un po' con WP Device Manager…
tulifaiv06 Aprile 2012, 18:03 #3
PESSIMO

già l'app Facebook per Android e iOS fa schifo, ora si scopre che ha pure bug orrendi...
lordream06 Aprile 2012, 20:19 #4

dropbox

per facebook non mi interessa, non uso l'app, mi dispiace per dropbox che lo uso sullo smartphone
simonk07 Aprile 2012, 14:52 #5
ahahah e noi utenti di WP ce la ridiamo!!

già, dato che ogni applicazione che metti nel MarketPlace deve essere verificata e certificata da Microsoft. E' vero che così ci sono poche applicazioni (dato anche che quelle porno non le mettono xP ), però almeno ho una buona sicurezza su ciò che compro...
tulifaiv07 Aprile 2012, 15:17 #6
e avete poco da ridere, visto che anche per iOS le app devono essere certificate
Unrealizer08 Aprile 2012, 01:41 #7
Originariamente inviato da: simonk
ahahah e noi utenti di WP ce la ridiamo!!

già, dato che ogni applicazione che metti nel MarketPlace deve essere verificata e certificata da Microsoft. E' vero che così ci sono poche applicazioni (dato anche che quelle porno non le mettono xP ), però almeno ho una buona sicurezza su ciò che compro...


Originariamente inviato da: tulifaiv
e avete poco da ridere, visto che anche per iOS le app devono essere certificate


Ha ragione tulifaiv, anche su iOS le app vengono certificate, ed evidentemente questo processo non è esente da falle… poi magari MS le controlla meglio, ma questo non lo sapremo mai

Comunque ho dato un'occhiata all'Isolated Storage dell'app di Facebook sul mio Optimus 7... non sono un esperto di sicurezza, quindi potrei sbagliarmi, ma non ho trovato informazioni sensibili su alcun file, se escludiamo la cache delle immagini… né user, né pass, né token salvati in chiaro… mi resta solo da decompilare l'app vera e propria, ma non ne ho proprio voglia

In ogni caso, visto che ogni app su WP7 (almeno, finché non lo vai a rootare, e intendo il "root" di cui ti parlavo nell'altro thread) può accedere soltanto al proprio IsolatedStorage, noi utenti WP7 possiamo tranquillamente ridercela

Tutto questo discorso era riferito unicamente all'app "a parte", che è separata dalle funzionalità integrate nel SO… non ho idea di dove possano essere salvati questi dati
simonk09 Aprile 2012, 00:37 #8
@Unrealizer

Quoto, mi ero dimenticato che Apple certifica, ma comunque la medaglia per il minor numero di dati inviati ce la teniamo noi.

La prima cosa che ho notato infatti quando ho comprato il mio LG E900 a differenza degli altri, sono state le richieste di "permesso" all'invio di dati, o alla localizzazione, e altro... con Android ad esempio ho dovuto per forza mettere il mio account gmail e poco dopo ho anche scoperto che inviava continuamente dati GPS a Google e terzi (dato che "avevo accettato" la loro privacy, sapete, ora Google dal 1° marzo dice questo: "L'utente al momento dell'utilizzo di una delle applicazioni o servizi Google accetta automaticamente i termini e condizioni di utilizzo", spero la UE faccia qualcosa presto... non era male il Galaxy S che mi voleva vendere un amico, poi però mi ha detto il prezzo... xD)
Sharp10 Aprile 2012, 08:45 #9

aggiornamento

Update: We have received the following statement from Dropbox, noting that its Android app is not susceptible to this security issue and that it will update the iOS app to fix it as well. Hopefully other companies will take a look at how they’re handling these plain text tokens and do the same.


Dropbox’s Android app is not impacted because it stores access tokens in a protected location. We are currently updating our iOS app to do the same. We note that the attack in question requires a malicious actor to have physical access to a user’s device. In a situation like that, a user is susceptible to all sorts of threats, so we strongly advise safeguarding devices.

Update: We’ve performed further testing and found that if your device has a passcode set, this method for transferring a .plist file off of the device will not work. We’ve updated the article to reflect that.
ezio10 Aprile 2012, 10:24 #10
Uso sempre la versione via browser sul NexusS, l'applicazione per Android è improponibile per pesantezza e bug vari

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
Trova il regalo giusto