Un nuovo problema di sicurezza mette in allarme gli utenti Facebook: Gareth Wright, sviluppatore britannico di applicazioni mobile, ha infatti scoperto una falla nell’app ufficiale del social network dedicata alle piattaforme Android ed iOS. In entrambi i casi ad essere a rischio sono le credenziali d’accesso degli utenti, le quali sarebbero archiviate localmente senza alcun sistema di cifratura e dunque potenzialmente accessibili da parte di eventuali malintenzionati in svariati modi.
Sia la versione per Android che quella per iOS, dunque, una volta inseriti i dati di login salvano questi ultimi in un file con estensione .plist, formato largamente utilizzato per archiviare configurazioni software, così che l’app possa memorizzare l’accesso. Wright ha tuttavia dimostrato come sia facilmente possibile accedere a tale file, ad esempio collegando via USB il dispositivo ad un computer oppure sfruttando un’apposita applicazione mobile, ma soprattutto come non sia stato adottato alcun sistema di protezione per lo stesso: una volta ottenuto il file in questione, insomma, esso può essere letto in chiaro ed utilizzato ai propri fini.
Wright ha infatti scoperto che prelevando tale file ed inserendolo in un altro dispositivo, una volta aperta l’app di Facebook ci si trova collegati con le credenziali dell’utente dal quale è stato ottenuto il file .plist, potendo dunque eseguire qualsiasi azione con l’account di quest’ultimo. E, a quanto pare, ottenere tale file non risulta essere particolarmente complicato, potendo utilizzare un software scritto appositamente oppure modificare software già esistenti per raggiungere tale obiettivo. Il rischio è pertanto concreto e le conseguenze potrebbero essere gravi in quanto estese ad una community da centinaia di milioni di utenti in tutto il mondo.
Il team di sviluppatori che si occupa di realizzare le app mobile per il social network è stato immediatamente allertato, ma nelle ore successive ha tenuto a precisare come la falla in questione sia presente solamente in dispositivi corrotti oppure modificati, ad esempio installando una ROM sviluppata da terzi di Android oppure eseguendo la procedura di jailbreak su iOS. Soltanto in tali circostanze, infatti, il file .plist sarebbe liberamente accessibile, mentre le edizioni ufficiali delle piattaforme, sulle quali viene testata l’app nei laboratori, impedirebbero l’accesso diretto allo stesso.
Update
Sebbene le comunicazioni provenienti da Facebook lascino intendere come il problema sia soltanto sui device aperti da jailbreak, in realtà secondo The Next Web il problema sarebbe esteso a tutti i dispositivi. Ed anche Dropbox soffrirebbe del medesimo problema.