Un informe presentado el día de hoy por el desarrollador Gareth Wright dejó en evidencia una vulnerabilidad de seguridad en aplicaciones móviles de Facebook podría conducir potencialmente al robo de identidad.

Al parecer el problema se encuentra en que muchas aplicaciones guardar los datos en archivos plist de texto sin formato en lugar de binarios, de modo que la información sensible podría verse fácilmente comprometida.

Aunque en algunos sitios señalan que esto es potencialmente peligroso solo en los Android Rooteados y los iPhone con Jailbrek, Gareth señala que es posible hacerlo en cualquier dispositivo y que el mayor riesgo es de malware y virus diseñados para obtener los datos de los dispositivos conectados a la PC.

Aunque no termino de entender muy bien como es que se da este bug, tratare de traducir las palabras exactas de Gareth, programadores por favor corregirme en los comentarios xD.

Hurgando en los directorios de algunas aplicaciones usando la herramienta gratuita iexplorer, me encontré en un token de acceso de texto sin formato en el popular Draw Something by OMG POP.

Eso en sí mismo no es extraño, pero momo Draw Something pide acceso algo acceso offilie a tu cuenta, he copiado el hash y probado algunas consultas FQL.
Efectivamente, pude tirar, más o menos, toda la información de mi cuenta de Facebook.

A partir del 1 de mayo de 2012 estos token, expiran después de 60 días, pero aparte de eso, una herramienta de red simple,podría fácilmente obtener esta información y dar un golpe justo en direcciones de correo electrónico confirmados e información de marketing

No es bueno, pero entonces tuve que preguntarme, lo que la aplicación de Facebook almacenaba.

Abriendo el directorio de la aplicación de Facebook, no tardé en descubrir un montón de imágenes en caché y la com.Facebook.plist. Lo que contenía dentro fue impactante.

No es solo un token de acceso, sino la clave OAuth completa, y el secreto en texto plano. Sin duda, aunque se trata de cifrado “salado” con el ID del dispositivo, es preocupante que la expiración en el plist se establece el 1 de enero 4001!

Facebook es consciente y trabaja en cerrar el agujero, pero a menos que los desarrolladores de aplicaciones sigan el ejemplo y empezar la encriptación de los 60 días de acceso a los suministros de fichas de Facebook, es sólo cuestión de tiempo antes de que alguien comienza a utilizar la información para el propósito de los malos … si no lo son ya.

Fuente garethwright.com