Mobilt facebook-hul: Sæt ikke din telefon i fremmede computere

Sætter du din iPhone eller Android-telefon til en fremmed computer, kan du nemt få kopieret din login-oplysninger til Facebook. Med en jailbroken eller rooted telefon har hackerne endnu flere muligheder.

Når Facebooks applikationer til Android og iOS gemmer loginoplysningerne på enheden, sker det i en ukrypteret tekstfil, som andre kan få adgang til.

Det opdagede den engelske softwareudvikler Gareth Wright, da han kiggede i mapperne for det populære spil Draw Something, der bruger Facebook-login.

Her fandt han en adgangs-token i klartekst, som han nemt kunne kopiere og bruge til at få adgang til Facebook med. Og Facebooks egen applikation gemte endnu mere information i klartekst. Det skriver han i et blogindlæg.

Kobler du en iOS- eller Android-enhed til en computer med USB-kablet, kan software på denne maskine altså nemt hente dine adgangsoplysninger til Facebook, forklarer han.

Synderen er en såkaldt plist-fil, en forkortelse af ’property list’, og hvor Draw Something-applikationen kun havde en adgangs-token til Facebook, der ville udløbe inden for 60 dage, var der med Facebooks applikation adgang til en fuld oAuth-nøgle, der først udløber i år 4001.

Som et forsøg sendte Gareth Wright sin plist-fil til en ven, som kopierede den ind på sin telefon. Det gav med det samme fuld adgang til Facebook og de applikationer, som bruger Facebook-login. Selv efter vennen slettede den fremmede plist-fil, fik han beskeder fra applikationerne, som var tiltænkt Gareth Wright.

Facebooks kommentar til den engelske udvikler var, at man arbejder på at løse problemet, men da it-mediet ZDnet.com bad om en officiel kommentar, var svaret anderledes. Her blev problemet nedtonet, og Facebook lagde vægt på, at en hacker skal have fysisk adgang til enheden, eller at styresystemet skal være modificeret, for eksempel som det sker med en jailbroken iPhone.

Men Gareth Wright mener ikke, at Facebook tager problemet seriøst. Det er primært, hvis man tilkobler telefonen til en opladestation eller en højttaler-dock, at der er et åbent sikkerhedshul, pointerer han, og så er det lige meget, om telefonen er jailbroken eller ej.

Kommentarer (2)

Jakob Damkjær

til IKKE at ødelægge de sikkerheds systemer ens telefon kommer med...

Mm at den OS version ens mobil dims har som maks opgradering har
velkendte sikkerhedshuller og eller er 2-3 år gammel.

Jailbreak = dumt og usikkert.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Grundlæggende web udvikling

Hvornår: 2015-11-11 Hvor: Østjylland Pris: kr. 7700.00

Project 2013 Videregående

Hvornår: 2015-11-26 Hvor: Østjylland Pris: kr. 3500.00

CERT 70-413 Designing and Implementing a Server Infrastructure

Hvornår: 2015-09-25 Hvor: Storkøbenhavn Pris: kr. 4950.00

AUTODESK INVENTOR CAD ADMINISTRATOR

Hvornår: 2015-10-19 Hvor: Østjylland Pris: kr. 7000.00

Knowledge Centered Support® Foundation + Leader

Hvornår: Hvor: Storkøbenhavn Pris: kr. Efter aftale