Μετάβαση στο περιεχόμενο


Φωτογραφία
- - - - -

Κενό ασφαλείας στο facebook.app


  • Παρακαλούμε συνδεθείτε για να απαντήσετε
3 μηνύματα σε αυτό το θέμα

#1   nikoz87

nikoz87

    iPH Intergalactic Leader

  • 21.572 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 5
  • Tablet:iPad 4
  • GameCenter:TheNikoz

Δημοσίευση 06/04/2012 - 14:45

Ο ερευνητής ασφαλείας Gareth Wright δημοσίευσε ένα άρθρο που έχει προκαλέσει σοβαρά ερωτήματα σχετικά με το πως οι προγραμματιστές iOS χειρίζονται τα αποθηκευμένα στοιχεία στις εφαρμογές. Φαίνεται ότι κάποιες εφαρμογές σώζουν τα δεδομένα αυτά σε απλή, μη κρυπτογραφημένη μορφή κειμένου!!!

Χρησιμοποιώντας το iExplorer και μια μη-jailbroken i-συσκευή, ο Wright ήταν σε θέση να τραβήξει όλα τα είδη των πληροφοριών του λογαριασμού από εφαρμογές όπως το Facebook και το Draw Something, το οποίο ήταν αποθηκευμένο σε κρυπτογραφημένα .plist αρχεία.




“Popping into the Facebook application directory I quickly discovered a whole bunch of cached images and the com.Facebook.plist. What was contained within was shocking. Not an access token but full oAuth key and secret in plain text…

…Quick export and call to my good friend and local blogger Scoopz and I sent over my plist for him to try out. After backing up his own plist and logging out of Facebook he copied mine over to his device and opened the Facebook app.

My jaw droppped as over the next few minutes I watched posts appear on my wall, private messages sent, webpages liked and applications added.

Scoopz then opened Draw Something on his iPad which logged him straight into my account where he sent some pictures back to my friends.”





Πριν πανικοβληθείτε, να έχετε κατά νου ότι δεν υπάρχουν στοιχεία πως χρησιμοποιούνται αυτές τις πληροφορίες κακόβουλα. Αλλά οι συνέπειες είναι σίγουρα τρομακτικές. Ο Wright δείχνει ότι οι hackers θα μπορούσαν να εκμεταλευτούν αυτό το κενό ασφαλείας με μία κρυφή εφαρμογή για PC που θα αντιγράφει τα αρχεία .plist της οποιαδήποτε i-συσκευής που συνδέετε, ή με κάποιο πρόγραμμα σαν το iExplorer.

O Wright ισχυρίζεται πως οι devs του facebook.app δουλεύουν πάνω σε ένα νέο update μετά από αυτές τις αποκαλύψεις.

Ο τόπος είναι απλός, αντιγράφεται τον φάκελο com.facebook.Facebook(βρίσκεται στην διαδρομή Library/Caches μέσα στο φάκελο της εφαρμοφής) και τον κάνετε επικόλληση σε μία άλλη i-συσκευή. Πλέον μέσω της νέας συσκευής θα έχετε πρόσβαση στο facebook account σας.



[via]


Y.Γ. Το δοκίμασα και δουλεύει.......... :mad:

Αναρτημένη εικόνα

Τελευταία επεξεργασία από: nikoz87, 06/04/2012 - 14:51


Ad

Ad

Team
iPhoneHellas
3,1416 μηνύματα
Twitter: @android
Φύλο: Όπως το δει κανείς
Κινητό: Android
Tablet: Για τα κουνούπια

Γιατί να γίνετε μέλη;

#2   nikoz87

nikoz87

    iPH Intergalactic Leader

  • 21.572 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 5
  • Tablet:iPad 4
  • GameCenter:TheNikoz

Δημοσίευση 08/04/2012 - 11:16

Μετά το facebook και το Draw Something, προστίθεται στην λίστα και το Dropbox!

Όσοι έχετε Jailbroken συσκευή, να απενεργοποιείτε το OpenSSH και να αλλάξετε το default password(alpine) για παν ενδεχόμενο!

[via]

Τελευταία επεξεργασία από: nikoz87, 08/04/2012 - 11:17


#3   h8breed

h8breed

    iPH Addict

  • 660 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: iPhone 7 Plus
  • Tablet:iPad Air 2

Δημοσίευση 08/04/2012 - 11:19

Thanks για την ενημερωση θα το κοιταξω!

#4   sepsis

sepsis

    iPH Hero

  • 8.236 μηνύματα
  • Twitter:@hsouris
  • Φύλο: Άντρας
  • Κινητό: iPhone 5
  • Tablet:iPad 3 +4G

Δημοσίευση 09/04/2012 - 10:10

Αναρτημένη εικόνα


Νέο σκάνδαλο ασφαλείας αποκάλυψε ο ερευνητής Gareth Wright που αφορά τις iOS συσκευές και τις αρκετά δημοφιλείς εφαρμογές Facebook και Dropbox. Ουσιαστικά, μπορεί κανείς πολύ εύκολα αντιγράφοντας ένα απλό μη κρυπτογραφημένο αρχείο κειμένου από μία συσκευή σε άλλη να λάβει πρόσβαση στον λογαριασμό ενός άλλου χρήστη.

Το θέμα είναι αρκετά σοβαρό και αφορά την παράλειψη των developers να προστατέψουν με κωδικοποίηση τα στοιχεία πρόσβασης του χρήστη μέσα στην ίδια την εφαρμογή. Αρχικά, η Facebook εξέδωσε ανακοίνωση με την οποία ουσιαστικά αναφέρει ότι το κενό αυτό ασφαλείας εμφανίζεται μόνο σε jailbroken συσκευές και ότι δεν ευθύνεται η ίδια.

Το TNW, ωστόσο, πραγματοποίησε δοκιμές και βρήκε ότι δεν απαιτείται jailbreak της συσκευής για να αποκτήσει κανείς πρόσβαση στις πληροφορίες login ενός χρήστη υποκλέπτοντας με αυτόν τον τρόπο τον λογαριασμό του. Η διαρροή αυτή μπορεί να γίνει είτε αποκτώντας φυσική πρόσβαση στην συσκευή του χρήστη είτε εγκαθιστώντας κακόβουλο λογισμικό σε δημόσιο υπολογιστή. Ο Wright για να αποδείξει τα λεγόμενά του εγκατέστησε ένα τέτοιο πρόγραμμα σε έναν δημόσιο υπολογιστή και κατάφερε να συλλέξει πάνω από χίλια αρχεία .plist σε μία βδομάδα πριν επικοινωνήσει με τη Facebook για το πρόβλημα. Την ίδια ακριβώς συμπεριφορά παρουσιάζει και η εφαρμογή Dropbox δημιουργώντας σοβαρά ερωτήματα γιατί οι developers δεν κρυπτογραφούν αυτές τις πολύ σημαντικές πληροφορίες.

Δεν χρειάζεται να πανικοβάλλεστε, όμως. Παρόλο που οι developers πρέπει να προβούν σε άμεση αναβάθμιση των εφαρμογών τους διορθώνοντας το κενό ασφαλείας μπορείτε πολύ εύκολα να προστατευθείτε θέτοντας ένα passcode στην συσκευή σας. Το passcode είναι μια μέθοδος ασφαλείας που θα πρέπει ο καθένας μας να έχει θέσει στην iOS συσκευή του. Με το passcode όλα σας τα δεδομένα παραμένουν προστατευμένα ακόμα και σε περίπτωση κλοπής. Για να θέσετε ένα passcode πηγαίνετε Ρυθμίσεις->Γενικά->Κλείδωμα με συνθηματικό.

Follow me on twitter





Χρήστες που διαβάζουν αυτό το θέμα: 0

0 μέλη, 0 επισκέπτες, 0 ανώνυμοι χρήστες