Un informe presentado el día de hoy por el desarrollador Gareth Wright dejó en evidencia una vulnerabilidad de seguridad en aplicaciones móviles de Facebook podría conducir potencialmente al robo de identidad.
Al parecer el problema se encuentra en que muchas aplicaciones guardar los datos en archivos plist de texto sin formato en lugar de binarios, de modo que la información sensible podría verse fácilmente comprometida.
Aunque en algunos sitios señalan que esto es potencialmente peligroso solo en los Android Rooteados y los iPhone con Jailbrek, Gareth señala que es posible hacerlo en cualquier dispositivo y que el mayor riesgo es de malware y virus diseñados para obtener los datos de los dispositivos conectados a la PC.
Aunque no termino de entender muy bien como es que se da este bug, tratare de traducir las palabras exactas de Gareth, programadores por favor corregirme en los comentarios xD.
Hurgando en los directorios de algunas aplicaciones usando la herramienta gratuita iexplorer, me encontré en un token de acceso de texto sin formato en el popular Draw Something by OMG POP.
Eso en sí mismo no es extraño, pero momo Draw Something pide acceso algo acceso offilie a tu cuenta, he copiado el hash y probado algunas consultas FQL.
Efectivamente, pude tirar, más o menos, toda la información de mi cuenta de Facebook.A partir del 1 de mayo de 2012 estos token, expiran después de 60 días, pero aparte de eso, una herramienta de red simple,podría fácilmente obtener esta información y dar un golpe justo en direcciones de correo electrónico confirmados e información de marketing
No es bueno, pero entonces tuve que preguntarme, lo que la aplicación de Facebook almacenaba.
Abriendo el directorio de la aplicación de Facebook, no tardé en descubrir un montón de imágenes en caché y la com.Facebook.plist. Lo que contenía dentro fue impactante.
No es solo un token de acceso, sino la clave OAuth completa, y el secreto en texto plano. Sin duda, aunque se trata de cifrado «salado» con el ID del dispositivo, es preocupante que la expiración en el plist se establece el 1 de enero 4001!
Facebook es consciente y trabaja en cerrar el agujero, pero a menos que los desarrolladores de aplicaciones sigan el ejemplo y empezar la encriptación de los 60 días de acceso a los suministros de fichas de Facebook, es sólo cuestión de tiempo antes de que alguien comienza a utilizar la información para el propósito de los malos … si no lo son ya.
Fuente garethwright.com
Buen día.
Mi nombre es Gabriel Ortiz López y soy ingeniero de sistemas de la Universidad Pontificia Bolivariana. Estoy totalmente preparado para dar el servicio de hacker, soy una persona seria y discreta en esto, manejo un sistema eficaz y un proceso que lo dejara satisfecho. Laboro con el servicio de cuentas HOTMAIL, FACEBOOK, GMAIL, YAHOO, TWITTER, manejo un método eficaz, rápido, discreto para obtener las contraseñas y movimientos de la cuenta de la persona que más necesita saber e investigar, puede estar tranquilo que esa persona no se dará cuenta de nada y soy una persona sincera con el fin de ayudar a los demás. He creado un sistema para ingresar a la base de datos de Universidades para cambiar notas de Estudiantes. Para ello me deben dejar sus datos de la cuenta muy bien explícitos, cuando me contacte le informare a profundo el sistema.
Este servicio es totalmente garantizado y discreto. Para utilizar mis servicios me puede contactar al correo: [email protected]
Comments are closed.