Популярные iPhone-приложения не защищены от кражи персональных данных

вирусы в iphoneПопулярные программы для iPhone, например, клиенты сервисов Dropbox и Facebook, хранят данные для аутентификации на устройстве не шифруя их, что дает возможность скопировать их при помощи специальной утилиты, если преступник получил физический доступ к устройству.

Скопированную таким образом информацию можно сохранить на другом устройстве, чтобы получить доступ к чужой учетной записи, как если бы она принадлежала самому преступнику.

О данной уязвимости в мобильном клиенте Facebook сообщил недавно Гарет Райт, эксперт по информационной безопасности. Он выяснил, что программа хранит данные для аутентификации в незашифрованном виде в файле .plist. Хотя файловая система iOS официально не разрешает работать с файлами напрямую, их все же можно скопировать при помощи специализированного программного обеспечения.
Райт использовал программу для ПК iExplorer: он скопировал файл com.Facebook.plist, в котором содержались реквизиты аккаунта, со своего устройства на смартфон друга, в котором также был установлен клиент Facebook. Данные манипуляции позволили второму устройству получать доступ к личному аккаунту Райта, как если бы это был его телефон.

Согласно официальной позиции сотрудников Facebook, данная уязвимость в приложении может быть использована только при использовании модифицированной системы смартфона или если преступник получил физический доступ к телефону. Однако эту позицию опровергают авторы The Next Web.
Сотрудники издания воспроизвели процедуру, которую описал Райт, и подтвердили вероятность атаки. Для этого нет необходимости взламывать устройство, поскольку iExplorer работает и с официальной операционной системой. Более того, получить доступ к файлам можно, даже если владелец iPhone использует пароль.
Также специалисты The Next Web определили, что схожая уязвимость присутствует и у iOS-клиента для работы с облачным сервисом Dropbox. Эксперты предостерегают, что и другие утилиты для iPhone могут иметь аналогичную уязвимость.

Хотя злоумышленнику действительно необходимо получит физический доступ к телефону, чтобы сохранить нужные файлы, есть способы, значительно упрощающие данную процедуру. Один из примеров, которые привел Гарет Райт – хакерская утилита, установленная на публичный компьютер, тайно сохраняет личные данные пользователей, подключивших к данному компьютеру свой смартфон.


No Comments »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

Copyright © 2018 Hack NET Portal – новости IT безопасности.