Уязвимость в Facebook и Dropbox for iOS позволяет получить доступ к чужому аккаунту
Гарет Райт обнаружил, что в приложении Facebook for iOS есть уязвимость, с помощью которой злоумышленник может получить доступ к чужому аккаунту. Данные хранятся в приложении в .plist файле, используя который, можно автоматически авторизовываться в чужие аккаунты пользователей Facebook.
Райт обнаружил эту уязвимость, когда пользовался программой iExplorer. Просматривая файлы на своем iPhone, он заметил, что в файле .plist в приложении Facebook значения oAuth key и secret, которые необходимы для доступа к аккаунту пользователя, содержатся в незашифрованном виде. Райт скопировал этот файл на телефон друга и оказалось, что с помощью этого .plist любой, кто им владеет, может входить в Facebook под чужим аккаунтом.
После бэкапа своего plist файла и деавторизации из Facebook он скопировал мой файл на свой телефон и открыл приложение Facebook…
У меня челюсть отвисла, когда через несколько минут я увидел посты на своей стене, мои личные сообщения, лайки страниц и добавленные приложения.
Facebook ответил, что проблема касается только те устройства, которые были джейлбрейкнуты или потеряны, потому что для доступа к файлу нужна установка стороннего приложения или физический доступ к устройству. Однако, как выяснилось потом, немодифицированные и неутерянные устройства тоже подвержены этой уязвимости, так как можно через подключение устройства к чужому компьютеру или какому-то аксессуару украсть эти данные.
Эта же уязвимость была обнаружена и в Dropbox for iOS: просто скопировав файл .plist с одного устройства на другое, можно получить доступ к чужому аккаунту. Учитывая, что эта уязвимость есть в таких приложениях, как Facebook и Dropbox, очень высока вероятность, что у других сервисов она тоже может присутствовать.
Нужно ли вам беспокоиться об этом? Скорее всего, нет. Для доступа к файлу, нужен физический доступ к устройству. Просто не подключайте его к чужим компьютерам. Думаю, в самое ближайшее время эта уязвимость будет исправлена.
via MacRumors
![Adobe выпустила Photoshop Touch для iPad 2 [Updated]](https://macdays.ru/wp-content/themes/hueman/assets/front/img/thumb-medium-empty.png)