iPhone взламывает Facebook!
Меню

iPhone взламывает Facebook!

Гарет Райт, разработчик из Британии, наткнулся на довольно серьезный «прокол» в различных приложениях Facebook, специально созданных для смартфонов от Apple, а так же Android смартфонов. Согласно его данным, эти «слабости» могут стать причиной взлома и кражи данных любого аккаунты в этой социальной сети. На своем блоге Гарет Райтуказывает, что, как правило, мобильный клиент Facebook не зашифровывает своих учетных данных, а, следовательно, их легко перехватить иным приложением, а так же просто подключив аппарат по USB.
Согласно собственному заявлению, разработчик совершенно случайно столкнулся с так называемым «жетоном доступа» (от англ. Access token) в сети Facebook, когда при помощи iexplorer просто просматривал содержимое своего iPhone. Далее, простое копирование содержание этого жетона, а так же последующие запросы на FQL (Facebook Query Language, так называемый «язык» Facebook , используемый как язык управления базами данных) позволили извлечь содержимое файла.
Следующим шагом был вход в директорию данного приложения и обнаружение файла com.Facebook.plist. Выяснилось, что содержанием файла оказался дающий полный доступ конкретного аккаунта на Facebook незашифрованный ключ авторизации, OAuth.
Но следующее заявление Райта совершенно ошеломительно – «Я был шокирован, когда я увидел, как кто-то, точно не я, безобразничает на моей странице – пишет на «стене», ставит «лайк» ну и тому подобное…» Все это было следствием простого эксперимента, когда Райт перед этим выслал ремонт iPhone и вышеуказанный файл своему другу и попросил использовать свой plist.
Хотя, конечно, программист мог не учесть, что априори доступом к plist не обладает никто, естественно кроме приложения. И защита может быть автоматически отключена лишь в случае «джейлбрейка» или так называемой процедуры взлома смартфона. А ведь именно таким аппаратом и обладал разработчик
Что же касается самой социальной сети Facebook, естественно с их стороны были отметены все возможности существования такого уязвимого момента, поскольку согласно их заявлениям лишь только после того как смартфонбудет «разлочен» можно будет получить вышеуказанный «жетон доступа». Впрочем, Apple так же поддерживает эту позицию – самовольная либо иная модификация iOS логично может завершиться кражей личных данных, а так же «инфицированию» каким-либо вирусом. Но «упертый» программист Райт не сдается, продолжая настаивать на своем – уязвимыми могут быть и те смартфоны, которых не касался «джейлбрейк».

Trackback с этого сайта.

Оставить комментарий