Vulnerabilidad de Facebook SDK deja a millones de cuentas de los usuarios de teléfonos inteligentes en Riesgo

Posted on

Los investigadores de seguridad han descubierto una nueva vulnerabilidad Facebook SDK que pone a millones de tokens de autenticación de usuarios de Facebook en riesgo.

Facebook SDK para Android y iOS es una manera fácil de integrar aplicaciones móviles con la plataforma de Facebook, que proporciona soporte para ‘Ingresar con Facebook’ autenticación, junto con la lectura y la escritura para las API de Facebook y más.

Autenticación OAuth Facebooks conocido como “Login with Facebook” mecanismo es una manera segura para los usuarios suscribirse o en aplicaciones 3 ª parte sin compartir su contraseña de Facebook. Una vez que los usuarios aprueben los permisos solicitados, el SDK de Facebook ping a la OAuth 2.0 flujo de agente de usuario para recuperar las claves secretas de los usuarios cuenta de Facebook para llamar a las API de Facebook para modificar, leer o escribir datos de usuarios de Facebook en su nombre.

¿Cómo son los tokens de acceso sin cifrar se empiezan a secuestrar? Para empezar, los tokens secretos nunca se comparte con nadie, pero los investigadores de MetaIntell encontrado que la biblioteca de Facebook SDK deja a estos símbolos en un formato sin cifrar en el sistema de archivos del dispositivo. Los sistemas de archivos se pueden consultar en los teléfonos inteligentes Android no enraizados y dispositivos iOS sin jailbreak.

“Con tan sólo 5 segundos de la conectividad USB, token de acceso está disponible en iOS a través de ataque jacking jugo, sin jailbreak sea necesario y en el sistema de archivos de Android, se puede acceder a través del modo de recuperación que es Tricker y requieren más tiempo.” Chilik Tamir, arquitecto jefe en MetaIntell dijo a los investigadores.

No sólo es la señal capaz de ser secuestrado por alguien con acceso al dispositivo, pero otras aplicaciones representan una amenaza demasiado. Tercera fiesta de aplicaciones para teléfonos inteligentes con permisos de selección son capaces de acceder al sistema de archivos de dispositivos y pueden leer el archivo de Facebook y fácilmente robar a los usuarios acceso de Facebook fichas de forma remota.

 
Investigadores MetaIntell apodaron la vulnerabilidad, “Social Login secuestro de sesiones.” Una vez explotados, los atacantes tienen acceso total a la cuenta de Facebook informat víctima

 

ethical hacking course

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s