Una falla di sicurezza nelle applicazioni mobili di Facebook può essere facilmente sfruttata di ladri alla ricerca di informazioni personali sugli utenti. Il problema è che le app di Facebook dedicate ai dispositivi iOS e Android non crittografano le credenziali di accesso, rendendoli un facile bersaglio per le applicazioni truffa o per le penne usb sulle quali sono contenuti programmi di furto dati. “Un’applicazione canaglia o una connessione USB, sono tutto ciò che serve per prelevare le credenziali temporanee su entrambi i dispositivi” ha dichiarato Bill Ray.
Il buco di sicurezza è stato scoperto da Gareth Wright, uno sviluppatore inglese di applicazioni per i device iOS e Android. Wright, scrivendo in un blog, ha detto di aver scoperto la falla, mentre rovistava alcune delle directory del suo iPhone, con uno strumento gratuito. Nel corso della sua ricerca, ha scoperto un token di accesso di Facebook in uno dei giochi del suo telefono. Dopo aver copiato il codice del token, l’ha usato per estrarre informazioni dal social network, utilizzando il linguaggio di query di Facebook. “Ho potuto estrapolare praticamente tutte le informazioni dal mio account di Facebook“, ha scritto. E se poteva farlo lui, sicuramente poteva farlo chi ha introdotto il token all’interno dell’app.
L’esperienza di Wright con il token ha stimolato la sua curiosità in merito all’applicazione di Facebook. Rovistando nella directory dell’app, ha osservato che “ciò che era contenuto all’interno era scioccante“. All’interno dell’applicazione, infatti, pare ci fosse un file di testo contenente le impostazioni di un utente. Come esperimento, Wright ha mandato il suo plist ad un amico. L’amico ha sostituito il plist di Wright con il proprio.
“Sono rimasto a bocca aperta, quando ho guardato i messaggi apparire sulla mia bacheca, i messaggi privati ricevuti, le pagine web e le applicazioni che mi erano piaciute,” ha scritto Wright.
Wright ha deciso di illustrare come un hacker potrebbe raccogliere plists dai telefoni. Ha scritto un codice che potrebbe essere utilizzato per infettare i PC, software, anche un dock per l’altoparlante. Il codice potrebbe essere facilmente ottimizzato per copiare le liste.
Lo sviluppatore ha informato Facebook del difetto e il gigante del social networking ha comunicato di star lavorando ad un fix. Ma, Wright ha osservato che, anche se Facebook apporta modifiche alle sue app ufficiali, i suoi membri saranno ancora esposti a un attacco hacker, proprio attraverso il token di testo che molti sviluppatori memorizzano.
All’inizio di quest’anno, l’app Android di Facebook app è stata considerata come un’app spia, anche se, però, Facebook ha negato l’intera vicenda.