Facebook per iOS, ma anche per Android, contiene una grave falla di sicurezza che potrebbe mettere a rischio la privacy degli utenti in possesso di un iPhone o iPad. La vulnerabilità può esser utilizzata da hacker e cracker per ottenere l’accesso alle informazioni personali memorizzate nel device.
A rendere nota la vicenda inerente alla versione mobile di Facebook è Gareth Wright, sviluppatore inglese che si dedica proprio al mondo iOS e Android, il quale ha scoperto un token d’accesso di un gioco mentre navigava tra le directory dell’app in questione. Utilizzando il codice del token, è stato possibile estrarre le informazioni di un account su Facebook grazie a Facebook Query Language. Chiaramente, chiunque avesse compiuto la medesima azione, avrebbe avuto eguale accesso ai dati.
Successivamente, Wright ha deciso di navigare tra le altre directory dell’app Facebook mobile, e ha trovato un file plist contenente le impostazioni dell’utente e una chiave che non è stata criptata, pertanto in grado di fornire un accesso all’account Facebook dell’utente. Effettuando le dovute prove, di facilissima esecuzione per un hacker, è stato possibile notare come un qualunque malintenzionato avrebbe potuto avere rapido accesso a dati personali: bacheca, messaggi privati, applicazioni, like e tanto altro.
Facebook è stato informato della falla e pare che sia al lavoro per correggere quanto evidenziato da Wright, dunque è possibile che tale grave vulnerabilità venga risolta il prima possibile. Nel frattempo, è giunta una dichiarazione dai vertici del social network di Mark Zuckergerg:
«L’applicazione di Facebook per iOS ed Android è intesa per essere usata esclusivamente con il sistema operativo fornito dal produttore, e gli access tokens sono solo vulnerabili se gli utenti hanno modificato il proprio OS (es. jailbroken iOS o modded Android) o hanno garantito l’accesso fisico al dispositivo ad una persona malintenzionata. Sviluppiamo e testiamo le nostre applicazioni su versioni dei sistemi operativi non modificate e ci affidiamo alle protezioni native per lo sviluppo, dislocazione e sicurezza, tutti aspetti compromessi su un dispositivo jailbroken.»
Pare però che sia una bugia: TheNextWeb ha evidenziato come la vulnerabilità non riguarda solo i device jailbroken, ma anche quelli originali e mai modificati.