Índice
Reputación plata
Reputación Oro
Se ha desatado un escándalo más de
seguridad que involucra a la popular red
social Facebook, la cual en sus clientes
para dispositivos móviles Android e iOS
tienen un fallo de seguridad que
permitiría a un usuario copiar un archivo
de texto plano fuera del dispositivo dando
acceso a cualquier usuario a nuestra
cuenta, perfil y contenido del terminal en
cuestión.
El tema no terminaría ahí, ya que
thenextweb ha decidido ir un poco más
allá y ha dado a conocer que el cliente
móvil de Dropbox también sufriría esta
vulnerabilidad, la cual radicaría en la
propia aplicación la que almacena la
información en formato de texto plano, en
lugar de cifrar los archivos para que
terceros no puedan acceder a ella.
Facebook ha respondido con la siguiente
declaración:
Las aplicaciones de Facebook para iOS y Android
han sido diseñadas exclusivamente para el uso
del sistema operativo que el fabricante
proporciona y los tokens de acceso sólo son
vulnerables si se ha modificado el sistema
operativo móvil (es decir, jailbreak para iOS o
Root en Android) o habiendo concedido acceso
a un actor malicioso en el dispositivo
físicamente
A pesar de que claramente Mark
Zuckerberg y compañía quieren lavarse las
manos con estas declaraciones,
descargando la responsabilidad a los
métodos de liberación o libero de los
dispositivos móviles, el mismo sitio que da
a conocer la noticia ha realizado extensas
pruebas con dichas aplicaciones en
terminales sin jailbreak, confirmando que
esto es completamente falso .
La aplicación de Facebook en iOS es
absolutamente vulnerable, ya que es
posible acceder a la información utilizando
la herramienta iExplore de forma física ,
que es la misma que utilizó el investigador
en seguridad Gareth Wright para realizar
su free sin necesidad de tener un
dispositivo liberado.
Por lo tanto, todos los dispositivos son
vulnerables a este defecto, debido a la
forma en que Facebook maneja el
archivo .Plist que contiene la información
del usuario. Al parecer Facebook ya esta
consciente del problema y ya estaría
trabajando en una actualización para
solucionar este problema.
En el caso de Drobpox seria muy similar, ya
que se exhibe el mismo error con el
archivo .Plist sin necesidad de tener
Jailbreak en el dispositivo, permitiendo que
cualquier programa malicioso pudiera
explotar este error y hacerse de
información personal.
Si eres usuario de cualquiera de estas
aplicaciones, no debes entrar en pánico,
solo hay que mantenerse alejado de las
estaciones de carga y computadoras
públicas hasta que las aplicaciones sean
actualizadas para solucionar el problema.
Cabe la pena destacar que hasta el
momento no hay evidencia de que alguien
esté usando este método para recopilar
información.
fuente: celularis
