Mobilt facebook-hul: Sæt ikke din telefon i fremmede computere

Sætter du din iPhone eller Android-telefon til en fremmed computer, kan du nemt få kopieret din login-oplysninger til Facebook. Med en jailbroken eller rooted telefon har hackerne endnu flere muligheder.

Når Facebooks applikationer til Android og iOS gemmer loginoplysningerne på enheden, sker det i en ukrypteret tekstfil, som andre kan få adgang til.

Det opdagede den engelske softwareudvikler Gareth Wright, da han kiggede i mapperne for det populære spil Draw Something, der bruger Facebook-login.

Her fandt han en adgangs-token i klartekst, som han nemt kunne kopiere og bruge til at få adgang til Facebook med. Og Facebooks egen applikation gemte endnu mere information i klartekst. Det skriver han i et blogindlæg.

Kobler du en iOS- eller Android-enhed til en computer med USB-kablet, kan software på denne maskine altså nemt hente dine adgangsoplysninger til Facebook, forklarer han.

Synderen er en såkaldt plist-fil, en forkortelse af ’property list’, og hvor Draw Something-applikationen kun havde en adgangs-token til Facebook, der ville udløbe inden for 60 dage, var der med Facebooks applikation adgang til en fuld oAuth-nøgle, der først udløber i år 4001.

Som et forsøg sendte Gareth Wright sin plist-fil til en ven, som kopierede den ind på sin telefon. Det gav med det samme fuld adgang til Facebook og de applikationer, som bruger Facebook-login. Selv efter vennen slettede den fremmede plist-fil, fik han beskeder fra applikationerne, som var tiltænkt Gareth Wright.

Facebooks kommentar til den engelske udvikler var, at man arbejder på at løse problemet, men da it-mediet ZDnet.com bad om en officiel kommentar, var svaret anderledes. Her blev problemet nedtonet, og Facebook lagde vægt på, at en hacker skal have fysisk adgang til enheden, eller at styresystemet skal være modificeret, for eksempel som det sker med en jailbroken iPhone.

Men Gareth Wright mener ikke, at Facebook tager problemet seriøst. Det er primært, hvis man tilkobler telefonen til en opladestation eller en højttaler-dock, at der er et åbent sikkerhedshul, pointerer han, og så er det lige meget, om telefonen er jailbroken eller ej.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (2)

Jakob Damkjær

til IKKE at ødelægge de sikkerheds systemer ens telefon kommer med...

Mm at den OS version ens mobil dims har som maks opgradering har
velkendte sikkerhedshuller og eller er 2-3 år gammel.

Jailbreak = dumt og usikkert.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017