Mobilt facebook-hul: Sæt ikke din telefon i fremmede computere

Sætter du din iPhone eller Android-telefon til en fremmed computer, kan du nemt få kopieret din login-oplysninger til Facebook. Med en jailbroken eller rooted telefon har hackerne endnu flere muligheder.

Når Facebooks applikationer til Android og iOS gemmer loginoplysningerne på enheden, sker det i en ukrypteret tekstfil, som andre kan få adgang til.

Det opdagede den engelske softwareudvikler Gareth Wright, da han kiggede i mapperne for det populære spil Draw Something, der bruger Facebook-login.

Her fandt han en adgangs-token i klartekst, som han nemt kunne kopiere og bruge til at få adgang til Facebook med. Og Facebooks egen applikation gemte endnu mere information i klartekst. Det skriver han i et blogindlæg.

Kobler du en iOS- eller Android-enhed til en computer med USB-kablet, kan software på denne maskine altså nemt hente dine adgangsoplysninger til Facebook, forklarer han.

Synderen er en såkaldt plist-fil, en forkortelse af ’property list’, og hvor Draw Something-applikationen kun havde en adgangs-token til Facebook, der ville udløbe inden for 60 dage, var der med Facebooks applikation adgang til en fuld oAuth-nøgle, der først udløber i år 4001.

Som et forsøg sendte Gareth Wright sin plist-fil til en ven, som kopierede den ind på sin telefon. Det gav med det samme fuld adgang til Facebook og de applikationer, som bruger Facebook-login. Selv efter vennen slettede den fremmede plist-fil, fik han beskeder fra applikationerne, som var tiltænkt Gareth Wright.

Facebooks kommentar til den engelske udvikler var, at man arbejder på at løse problemet, men da it-mediet ZDnet.com bad om en officiel kommentar, var svaret anderledes. Her blev problemet nedtonet, og Facebook lagde vægt på, at en hacker skal have fysisk adgang til enheden, eller at styresystemet skal være modificeret, for eksempel som det sker med en jailbroken iPhone.

Men Gareth Wright mener ikke, at Facebook tager problemet seriøst. Det er primært, hvis man tilkobler telefonen til en opladestation eller en højttaler-dock, at der er et åbent sikkerhedshul, pointerer han, og så er det lige meget, om telefonen er jailbroken eller ej.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017