Ieri vi abbiamo riportato la notizia di una grave vulnerabilità nell’applicazione di Facebook per iOS, e sembra che poco dopo la diffusione tra i vari siti web Facebook abbia deciso di commentare attraverso un comunicato.
Facebook quindi ha risposto in merito alla falla di sicurezza nella propria applicazione in grado di garantire l’accesso ad un determinato account semplicemente prelevando un token da un file .plist:
L’applicazione di Facebook per iOS ed Android è intesa per essere usata esclusivamente con il sistema operativo fornito dal produttore, e gli access tokens sono solo vulnerabili se gli utenti hanno modificato il proprio OS (es. jailbroken iOS o modded Android) o hanno garantito l’accesso fisico al dispositivo ad una persona malintenzionata.
Sviluppiamo e testiamo le nostre applicazioni su versioni dei sistemi operativi non modificate e ci affidiamo alle protezioni native per lo sviluppo, dislocazione e sicurezza, tutti aspetti compromessi su un dispositivo jailbroken.
Sembra quindi che tale vulnerabilità sia accessibile unicamente su dispositivi jailbroken, ma stando a quanto riportato da TNW, una dichiarazione simile non potrebbe allontanarsi di più dalla realtà dei fatti. Basta infatti l’uso di un programma come iExplorer per accedere a tale file .plist. Proprio The Next Web ha replicato l’hack in questione su dispositivi non jailbroken ottenendo i medesimi risultati riportati inizialmente da Wright.
Logicamente, e lo sottolinea anche Facebook nel proprio comunicato, il nostro dispositivo sarà vulnerabile qualora un potenziale malintenzionato abbia un accesso fisico al dispositivo, e questo potrebbe accadere non solo in caso di furto, ma anche collegando il device ad una charging station pubblica modificata per estrarre il file .plist, a prescindere dal jailbreak. Il vero problema risiede nelle modalità attraverso cui Facebook archivia tale .plist con le nostre informazioni, e sembra che presto verrà rilasciato un aggiornamento per rimediare a tale vulnerabilità.
Sembra inoltre che anche l’applicazione ufficiale di Dropbox sia affetta dallo stesso problema nell’uso del file .plist; sempre usando iExplorer, infatti, TNW ha replicato la vulnerabilità duplicando un determinato profilo su un altro dispositivo non jailbroken senza dover inserire le credenziali per effettuare l’accesso. Un aspetto interessante, e forse preoccupante, è che questa vulnerabilità può essere sfruttata anche in presenza di un codice di blocco sul dispositivo, in quanto il file system rimarrà comunque non criptato, se non alcune informazioni. A questo punto è lecito affermare come, insieme a Facebook e Dropbox, siano molte altre le applicazioni a presentare la medesima falla di sicurezza, ma comunque per non essere a rischio sarà semplicemente necessario non consentire l’accesso al nostro dispositivo ad altri, ad esempio non collegandolo a computer o charging station pubbliche fino al rilascio di un fix.