L'applicazione ufficiale di Facebook per iOS ha una grave falla di sicurezza

Nelle settimane passate, si è molto discesse dell’applicazione Path che metteva a rischio la privacy e la sicurezza degli utenti. Sembra che ora sia stata trovata una nuova falla di sicurezza dell’applicazione ufficiale di Facebook per iOS in grado di mettere a rischio la privacy degli utenti.

A scoprire questa falla, è stato Gareth Wright, uno sviluppatore iOS e Android il quale navigando tra le direcotires dell’applicazione dal suo telefono grazie ad un tool gratuito, ha scoperto un token d’accesso in uno dei giochi archiviati; dopo aver copiato il codice del token, questo è stato usato per estrarre le informazioni da Facebook grazie a Facebook Query Language: “Potevo raccogliere quasi qualsiasi informazione dal mio account di Facebook”, e come lui, chiunque altro in possesso di uno dei suddetti token.

Per curiosità, Wright ha deciso in seguito di navigare tra le altre directories dell’applicazione trovando un file plist contenente le impostazioni dell’utente ed una chiave non criptata in grado di fornire a virtualmente chiunque un pieno accesso all’account dell’utente interessato. Volendo provare in prima persona, lo sviluppatore ha inviato il proprio file plist ad un amico che lo ha prontamente sostituito sul suo dispositivo: “Mi è caduta la mascella mentre nei successivi due minuti vedevo post pubblicati sulla mia bacheca, inviare messaggi privati, applicazioni aggiunte e like a pagine web” ha dichiarato Wright.

Speriamo che Facebook risolva presto questo gravissimo problema di sicurezza.

[via]