Application Facebook iOS et Android vulnérable

2

Un simple copier-coller d’un fichier de l’application Facebook d’un smartphone à un autre permet d’accéder à un compte privé sans en connaître le mot de passe.

Le développeur britannique Gareth Wright a découvert une faille d’importance dans l’application Facebook pour iOS. Et telle qu’il la relate, son exploitation est un jeu d’enfant : en connectant son smartphone à son PC et à l’aide d’un simple explorateur de fichier comme iExplorer, il inspecte le contenu du fichier de configuration (com.facebook.plist) et se rend compte qu’il renferme son identifiant et sa clé d’authentification à Facebook non cryptés, avec une expiration le… 1 janvier 4001 !

Il envoie alors le fichier incriminé à un ami, lui demandant de le placer dans son propre iPhone. La suite se passe de commentaires. “J’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des applications installées...”, écrit Gareth Wright. Il prend alors contact avec Facebook pour évoquer le souci et se voit répondre qu’ils “travaillent pour régler le problème“. Facebook, quand à lui, affirme que la faille ne peut être exploitée que sur un appareil jailbreaké…

Ce qui est faux ! Gareth Wright l’a confirmé en effectuant toutes ces manipulations sur des terminaux Apple non jailbreakés; iExplorer est, de plus, utilisable sans modifier le système d’exploitation de son iPhone.

Par ailleurs, le développeur a constaté que la même opération était possible sur Android. De là à imaginer une application cachée sur un PC, qui volerait les fichiers .plist et donc l’accès à un compte, ou encore un programme de type iExplorer recompilé pour copier et envoyer les fichiers à un pirate, il n’y a qu’un pas…

 

2 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.