9 апр. 2012 г.

И вновь об опасностях соцсетей

На этот раз о надежности защиты персональных данных, доверенных пользователем социальным сетям :)

Официальные приложения Facebook не защищают личные данные

Официальные приложения для iPhone и Android содержат уязвимости. Их обнаружил британский эксперт по безопасности. Эти приложения позволяют злоумышленникам легко получить доступ к личным данным пользователей. Аналогичная уязвимость присутствует и в клиенте для популярного файлообменного ресурса Dropbox.
Об этих уязвимостях сообщил Гарет Райт (Gareth Wright), веб-разработчик из Великобритании. По словам Райта, основная проблема в этих приложениях состоит в том, что Facebook-приложения для Android и iOS не шифруют учетные данные пользователей, которые вводятся ими для авторизации. Соответственно, эти данные легко украсть, например, используя вредоносные приложения.
Для этого злоумышленникам достаточно получить доступ к plist-файлу пользователя Facebook. Эти файлы используются для хранения настроек пользовательских аккаунтов. Похитив эти данные, хакеры легко могут заменить в нем содержимое и получить таким образом доступ к Facebook-аккаунту своей жертвы, сообщает Cnews.
В процессе тестирования уязвимости Райт скопировал нужные ему файлы с помощью приложения iExplorer. Файл com.Facebook.plist, содержащий данные личной учетной записи к Facebook он перенес со своего iPhone на смартфон друга, на котором также был установлен мобильный клиент Facebook. После на втором смартфоне можно было легко посмотреть всю информацию, которая содержалась в учетной записи Райта. Более того, устройство может быть таким образом взломано даже если устройство не было взломано – подвергнуто процедуре джейлбрейка, уточняет www.securitylab.ru.
Одновременно с этим хакеры таким же способом могут получить доступ к другим приложениям и сервисам, в которых пользователь авторизировался через свой аккаунт в Facebook. В результате злоумышленники могут копировать информацию с одного устройства на другое с помощью специальной программы так, если бы они получили физический доступ к смартфону. Несмотря на то, что файловая система iOS-устройств официально не позволяет работать с файлами напрямую, их все равно можно скопировать при помощи специального программного обеспечения, сказано в сообщении Digit.
Аналогичная уязвимость присутствует и у клиентского модуля для файлового хостинга Dropbox. Не исключено, что аналогичная уязвимость распространяется на некоторые другие веб-сервисы, которые передают данные без шифрования или любой другой защиты.
Примечательно, что социальная сеть Facebook разработала официальные приложения только для мобильных операционных систем Android и iOS. А для других платформ (BlackBerry, Windows Phone, webOS и т.д.) ПО создавали другие компании, пишет "Первый каталог"

Комментариев нет: