lunedì 9 aprile 2012

Falla di sicurezza espone Facebook per Android e iOS a furto identità


Una nuova grave vulnerabilità di sicurezza è stata scoperta in Facebook per Android e Facebook per iOS dallo sviluppatore inglese Gareth Wright. In entrambi i casi ad essere a rischio sono le credenziali d’accesso degli utenti, le quali sono archiviate localmente in chiaro senza alcun sistema di crittografia, per cui risulta molto semplice recuperare questi dati attraverso una connessione USB o, più probabilmente, tramite applicazioni maligne.

Wright ha dettagliato la questione in un post sul blog dal titolo "Facebook Mobile Security Hole allows Identity theft", spiegando che tutto ciò di cui ha bisogno un hacker è quello di afferrare il file plist di Facebook. Plist è l'estensione utilizzata da un file per l'elenco delle proprietà (PropertyList), nei quali vengono memorizzate le impostazioni di un utente e la cui scadenza è impostata da Facebook per altri 2.000 anni.


In essi confluiscono informazioni relative alle applicazioni che si utilizzano sui device (smartphone e tablet) e vengono memorizzate tutte le preferenze impostate dall’utente, tra cui messaggi privati, pagine lette, applicazioni e molto altro. Dopo aver inviato in particolare il file com.facebook.plist ad un amico, Wright ha scoperto che un estraneo poteva accedere liberamente al suo account, pubblicare foto o scrivere messaggi sulla bacheca.

L'hacker può anche accedere altre applicazioni sul dispositivo che richiedono un login di Facebook. Tutto questo è cominciato quando Wright ha iniziato rovistando in alcune directory di applicazioni usando il tool gratuito IExplorer (precedentemente iphone explorer), e si è imbattuto nei token di accesso a Facebook nella  popolare app Draw Something app by OMG POP (ora di proprietà di Zynga).


Dal momento che Since Draw Something ha accesso offline all'account, ha copiato l'hash e testato alcune Facebook Query Language (FQL). Ha detto che poteva tirare indietro praticamente tutte le informazioni dal suo account Facebook. Questi gettoni si esauriscono dopo 60 giorni, ma questo tempo è sufficiente per gli hacker ad afferrare alcuni indirizzi e-mail confermati e altre informazioni di base. Ma non è tutto.

Quando Wright ha controllato la app di Facebook, ha rapidamente scoperto un intero gruppo di immagini nella cache e una chiave OAuth completa in testo normale. Fatto ancora più preoccupante è che la scadenza per la plist è fissata al 1° Gennaio 4001. Il team di sviluppatori di Facebook si è messo al lavoro per risolvere il problema, precisando che che la falla in questione è presente soltanto in dispositivi corrotti oppure modificati.


Ecco il comunicato ufficiale emesso da Facebook Security nelle scorse ore:

''Abbiamo notato diversi articoli che sostengono il tuo account Facebook è a rischio se si utilizza Facebook per iOS o Android. Questo non è vero. Le applicazioni Facebook iOS e Android sono destinate esclusivamente per l'uso con la produzione prevista, il sistema operativo e token di accesso sono vulnerabili solo se gli utenti hanno modificato il loro sistema operativo mobile (vale a dire iOS jailbroken o modded Android) o hanno concesso un accesso dannoso attore al dispositivo fisico".

"Per proteggersi - aggiunge Facebook Security - è consigliabile a tutti gli utenti astenersi dal modificare il loro sistema operativo mobile per evitare l'instabilità dell'applicazione o problemi di sicurezza''. In realtà, come ha dimostrato successivamente il sito The Next Web, il bug è presente anche sui dispositivi originali. Ed anche le app Dropbox e LinkedIn soffrirebbero del medesimo problema.

Via: ZDNet

Nessun commento:

Posta un commento