Χρησιμοποιώντας το iExplorer και μια μη-jailbroken i-συσκευή, ο Wright ήταν σε θέση να τραβήξει όλα τα είδη των πληροφοριών του λογαριασμού από εφαρμογές όπως το Facebook και το Draw Something, το οποίο ήταν αποθηκευμένο σε κρυπτογραφημένα .plist αρχεία.
“Popping into the Facebook application directory I quickly discovered a whole bunch of cached images and the com.Facebook.plist. What was contained within was shocking. Not an access token but full oAuth key and secret in plain text…
…Quick export and call to my good friend and local blogger Scoopz and I sent over my plist for him to try out. After backing up his own plist and logging out of Facebook he copied mine over to his device and opened the Facebook app.
My jaw droppped as over the next few minutes I watched posts appear on my wall, private messages sent, webpages liked and applications added.
Scoopz then opened Draw Something on his iPad which logged him straight into my account where he sent some pictures back to my friends.”
Πριν πανικοβληθείτε, να έχετε κατά νου ότι δεν υπάρχουν στοιχεία πως χρησιμοποιούνται αυτές τις πληροφορίες κακόβουλα. Αλλά οι συνέπειες είναι σίγουρα τρομακτικές. Ο Wright δείχνει ότι οι hackers θα μπορούσαν να εκμεταλευτούν αυτό το κενό ασφαλείας με μία κρυφή εφαρμογή για PC που θα αντιγράφει τα αρχεία .plist της οποιαδήποτε i-συσκευής που συνδέετε, ή με κάποιο πρόγραμμα σαν το iExplorer.
O Wright ισχυρίζεται πως οι devs του facebook.app δουλεύουν πάνω σε ένα νέο update μετά από αυτές τις αποκαλύψεις.
Ο τόπος είναι απλός, αντιγράφεται τον φάκελο com.facebook.Facebook(βρίσκεται στην διαδρομή Library/Caches μέσα στο φάκελο της εφαρμοφής) και τον κάνετε επικόλληση σε μία άλλη i-συσκευή. Πλέον μέσω της νέας συσκευής θα έχετε πρόσβαση στο facebook account σας.
[via]
Y.Γ. Το δοκίμασα και δουλεύει..........
Τελευταία επεξεργασία από: nikoz87, 06/04/2012 - 14:51