Negli ultimi mesi una questione molto discussa è la sicurezza degli utenti in possesso di un dispositivo iOS a causa del clamore suscitato da Path e dalla raccolta di dati senza consenso. Sembra tuttavia che anche Facebook, l’applicazione ufficiale per iOS, contenga una grave falla di sicurezza in grado di mettere a rischio la privacy degli utenti. Vediamo di cosa si tratta.
Questa falla, come riportato da PC World, può essere sfruttata da eventuali malintenzionati per ottenere informazioni private su di noi, ma non solo. A scoprirlo è stato Gareth Wright, uno sviluppatore inglese di applicazioni per dispositivi iOS ed Android, sottolineando come tutto ciò che servirà allo scopo di prelevare le credenziali temporanee dal dispositivo sarà un’applicazione infetta o pochi minuti con una connessione USB. Wright, navigando tra le direcotires dell’applicazione dal suo telefono grazie ad un tool gratuito, ha scoperto un token d’accesso in uno dei giochi archiviati; dopo aver copiato il codice del token, questo è stato usato per estrarre le informazioni da Facebook grazie a Facebook Query Language: “Potevo raccogliere quasi qualsiasi informazione dal mio account di Facebook”, e come lui, chiunque altro in possesso di uno dei suddetti token.
Per curiosità, Wright ha deciso in seguito di navigare tra le altre directories dell’applicazione trovando un file plist contenente le impostazioni dell’utente ed una chiave non criptata in grado di fornire a virtualmente chiunque un pieno accesso all’account dell’utente interessato. Volendo provare in prima persona, lo sviluppatore ha inviato il proprio file plist ad un amico che lo ha prontamente sostituito sul suo dispositivo: “Mi è caduta la mascella mentre nei successivi due minuti vedevo post pubblicati sulla mia bacheca, inviare messaggi privati, applicazioni aggiunte e like a pagine web” ha dichiarato Wright.
Dopo aver scritto alcune righe di codice da usare per infettare PC, software ed uno speaker dock così da contare il numero di file plist incontrati (oltre 1.000), lo sviluppatore ha informato il social network della falla e sembra che questo stia lavorando ad un fix per correggerla; nonostante una possibile soluzione da parte di Facebook, gli sviluppatori in possesso di file plist nei propri giochi potranno comunque rendere vulnerabile la sicurezza degli utenti.
Ovviamente ci auguriamo che questa falla di sicurezza venga risolta quanto prima e che venga trovata una rapida soluzione da parte di Facebook.