Mobilt facebook-hul: Sæt ikke din telefon i fremmede computere

Når Facebooks applikationer til Android og iOS gemmer loginoplysningerne på enheden, sker det i en ukrypteret tekstfil, som andre kan få adgang til.

Det opdagede den engelske softwareudvikler Gareth Wright, da han kiggede i mapperne for det populære spil Draw Something, der bruger Facebook-login.

Her fandt han en adgangs-token i klartekst, som han nemt kunne kopiere og bruge til at få adgang til Facebook med. Og Facebooks egen applikation gemte endnu mere information i klartekst. Det skriver han i et blogindlæg.

Kobler du en iOS- eller Android-enhed til en computer med USB-kablet, kan software på denne maskine altså nemt hente dine adgangsoplysninger til Facebook, forklarer han.

Synderen er en såkaldt plist-fil, en forkortelse af ’property list’, og hvor Draw Something-applikationen kun havde en adgangs-token til Facebook, der ville udløbe inden for 60 dage, var der med Facebooks applikation adgang til en fuld oAuth-nøgle, der først udløber i år 4001.

Som et forsøg sendte Gareth Wright sin plist-fil til en ven, som kopierede den ind på sin telefon. Det gav med det samme fuld adgang til Facebook og de applikationer, som bruger Facebook-login. Selv efter vennen slettede den fremmede plist-fil, fik han beskeder fra applikationerne, som var tiltænkt Gareth Wright.

Facebooks kommentar til den engelske udvikler var, at man arbejder på at løse problemet, men da it-mediet ZDnet.com bad om en officiel kommentar, var svaret anderledes. Her blev problemet nedtonet, og Facebook lagde vægt på, at en hacker skal have fysisk adgang til enheden, eller at styresystemet skal være modificeret, for eksempel som det sker med en jailbroken iPhone.

Men Gareth Wright mener ikke, at Facebook tager problemet seriøst. Det er primært, hvis man tilkobler telefonen til en opladestation eller en højttaler-dock, at der er et åbent sikkerhedshul, pointerer han, og så er det lige meget, om telefonen er jailbroken eller ej.