La información de inicio de sesión de Facebook se puede extraer de iOS y Android

La información de inicio de sesión de Facebook se puede extraer de iOS y Android

Trabajan en agregar criptografía a las aplicaciones móviles. Los programas cliente de Facebook para iOS y Android no encriptan las credenciales de inicio de sesión de los usuarios, dejándolas en una carpeta accesible para otras aplicaciones o conexiones USB.

 

Se requiere una aplicación de dudosa procedencia o dos minutos con una conexión USB para  robar tus datos de acceso de cualquier dispositivo, el problema se agrava con la idea de «temporalidad” de Facebook que durará hasta el año 4000. En el caso de iOS, incluso se puede plagiar los datos de una copia de seguridad, lo que permite al atacante relacionarlos a una cuenta de Facebook y tener acceso a aplicaciones por diversión o algún beneficio.

 

Lo anterior de acuerdo a Gareth Wright, lector de The Register, quien encontró el archivo y lo probó para ver si es tan sencillo pretender ser alguien más. Resulta que es así, y después de realizar una prueba de concepto (un editor de puntajes para dispositivos iOS con jailbreak) que tomó miles de IDs, Gareth eliminó los datos obtenidos y reportó el problema a Facebook como debe hacerse.

 

Facebook ya estaba al tanto del problema y trabaja en él para resolverlo; sin embargo, no dirá cuanto tiempo le tomará o lo que los usuarios deben hacer durante ese tiempo.

 

iOS no le permitirá a las aplicaciones leer datos almacenados por otras aplicaciones y ofrece un nivel ligeramente más alto de protección que Android, en donde esto depende del usuario. Esa es la razón por la que la prueba de concepto se ejecutó en un PC conectada por USB; una aplicación local sólo funcionaría en dispositivos con jailbreak. Sin embargo, parece que cualquier aplicación de Android con permisos para modificar o borrar en la tarjeta SD podría hacer lo mismo.

 

Los juegos en iOS a menudo almacenan los puntajes en archivos de texto plano y depende del sistema operativo la protección y algunos claramente almacenan tokens de conexión de Facebook en el mismo lugar. Estos tokens sólo son válidos por 60 días, y resulta que la propia aplicación de Facebook almacena un token similar (que dura hasta el 1º de enero del año 4001). Copia el token a otro dispositivo y estás dentro.

 

Vale la pena recordar que Facebook no solo es una red social en estos días, ingresa a la cuenta de otro y podrás usar sus créditos para votar en Big Brother, y existen muchas oportunidades para el robo de identidad, con Facebook apoderándose e incrementando su cuota en las comunicaciones personales.

 

Conectar un cable USB desconocido en tu dispositivo es siempre un riesgo, y quienes descargan software poco fiable de fuentes desconocidas a veces merecen lo que les pasa. Pero Facebook no debería almacenar en un espacio accesible credenciales sin encriptar a menos que hayan bloqueado el dispositivo o de alguna manera haberlo asegurado, y con suerte es lo que estarán implementando muy pronto.

 

Fuente | UNAM