Формально несуществующая уязвимость в Facebook для iOS и Android
dl // 06.04.12 03:55
Британский разработчик Гарет Райт (Gareth Wright) обнаружил, что приложения, работающие с Facebook как под iOS, так и под Android, без должного трепета относятся к защите пользовательских данных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/04/02.html]
Началось с того, что он нашел в папке одного из приложений файл, в котором открытым текстом лежал выданный токен для доступа к Facebook (хэш, который используется приложениями после успешной авторизации, чтобы не терзать пользователя каждый раз вводом логина/пароля). Имея этот хэш, уже можно вытащить из Facebook некую интересную информацию, доступную приложению, с помощью запросов на FQL (Facebook Query Language).
Дальше все стало еще веселее - в каталоге родного приложения Facebook нашелся файл com.Facebook.plist, в котором лежал не просто токен, а целый OAuth-ключ с временем жизни аж до 1 января 4001 года. Копирования информации из этого файла уже достаточно для полного доступа к Facebook-аккаунту.
В Facebook отчасти признали проблему, уточнив, что от шифрования этих данных все равно не было бы толку, поскольку ключ для дешифровки все равно пришлось бы хранить на этой же системе. Кроме того, для успешной атаки нужно либо приложение, способное получить доступ к чужому каталогу (что возможно лишь в джейлбрейкнутой iOS либо рутованном андроиде), либо подключение устройства по USB.
По поводу первого сценария в Facebook с чистой совестью заявили, что ломающие свои системы сами себе злобные Буратины, ну а по поводу второго - что нельзя ожидать чудес от авторов прикладного софта, если злоумышленник получил физический доступ к вашему телефону или компьютеру.
То, что ситуация вполне стандартная, подтверждает обнаруженный на следующей же день аналогичный файл com.getdropbox.Dropbox.plist, обнаруженный в каталоге понятно какого приложения.