Mobilt facebook-hul: Sæt ikke din telefon i fremmede computere

10. april 2012 kl. 09:442
Sætter du din iPhone eller Android-telefon til en fremmed computer, kan du nemt få kopieret din login-oplysninger til Facebook. Med en jailbroken eller rooted telefon har hackerne endnu flere muligheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når Facebooks applikationer til Android og iOS gemmer loginoplysningerne på enheden, sker det i en ukrypteret tekstfil, som andre kan få adgang til.

Det opdagede den engelske softwareudvikler Gareth Wright, da han kiggede i mapperne for det populære spil Draw Something, der bruger Facebook-login.

Her fandt han en adgangs-token i klartekst, som han nemt kunne kopiere og bruge til at få adgang til Facebook med. Og Facebooks egen applikation gemte endnu mere information i klartekst. Det skriver han i et blogindlæg.

Kobler du en iOS- eller Android-enhed til en computer med USB-kablet, kan software på denne maskine altså nemt hente dine adgangsoplysninger til Facebook, forklarer han.

Artiklen fortsætter efter annoncen

Synderen er en såkaldt plist-fil, en forkortelse af ’property list’, og hvor Draw Something-applikationen kun havde en adgangs-token til Facebook, der ville udløbe inden for 60 dage, var der med Facebooks applikation adgang til en fuld oAuth-nøgle, der først udløber i år 4001.

Som et forsøg sendte Gareth Wright sin plist-fil til en ven, som kopierede den ind på sin telefon. Det gav med det samme fuld adgang til Facebook og de applikationer, som bruger Facebook-login. Selv efter vennen slettede den fremmede plist-fil, fik han beskeder fra applikationerne, som var tiltænkt Gareth Wright.

Facebooks kommentar til den engelske udvikler var, at man arbejder på at løse problemet, men da it-mediet ZDnet.com bad om en officiel kommentar, var svaret anderledes. Her blev problemet nedtonet, og Facebook lagde vægt på, at en hacker skal have fysisk adgang til enheden, eller at styresystemet skal være modificeret, for eksempel som det sker med en jailbroken iPhone.

Men Gareth Wright mener ikke, at Facebook tager problemet seriøst. Det er primært, hvis man tilkobler telefonen til en opladestation eller en højttaler-dock, at der er et åbent sikkerhedshul, pointerer han, og så er det lige meget, om telefonen er jailbroken eller ej.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
10. april 2012 kl. 20:26

Men der står jo i artiklen

og så er det lige meget, om telefonen er jailbroken eller ej.

1
10. april 2012 kl. 14:20

til IKKE at ødelægge de sikkerheds systemer ens telefon kommer med...

Mm at den OS version ens mobil dims har som maks opgradering har velkendte sikkerhedshuller og eller er 2-3 år gammel.

Jailbreak = dumt og usikkert.