Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Facebook SDK: une vulnérabilité met en danger des millions de comptes utilisateurs

3 Juillet 2014 , Rédigé par nicko Publié dans #informatique

Une vulnérabilité sur Facebook SDK met des millions des comptes d'utilisateurs de Smartphone en danger de piratage.

Facebook SDK: une vulnérabilité met en danger des millions de comptes utilisateurs

Les chercheurs en sécurité de MetaIntell, le leader en gestion de risques sur mobile, ont découvert une faille de sécurité majeure dans la dernière version de Facebook SDK qui a mis des millions de jetons d'authentification d'utilisateur Facebook en danger de piratage.

Facebook SDK pour Android et iOS est la meilleure façon d'intégrer les applications mobiles via la plate-forme Facebook, qui fournis le support pour la connexion avec l'authentification de Facebook, la lecture et l'écriture sur l'API de Facebook et beaucoup plus.

Facebook OAuth authentification ou "la Connexion Facebook comme « mécanisme est une façon personnalisée et sécuritaire pour les utilisateurs de se connecter avec une 3émé applications, sans partager leurs mots de passe. Après que l'utilisateur approuve les autorisations demandées par l'application, le SDK Facebook met en œuvre le OAuth 2.0 l'User-Agent du flux pour récupérer le jeton secret requis d'accès de l'utilisateur via les applications appeler les API de Facebook pour lire, modifier ou écrire sur Facebook les données de l'utilisateur et leur nom .

ACCÈS AU JETON NON CRYPTÉ

Il est important que votre jeton secret ne soit jamais partagée avec personne, mais les chercheurs ont constaté que la bibliothèque de Facebook SDK stocke dans un format non crypté sur le système de fichiers de l'appareil, qui peut être consulté facilement, même sur un appareil Android non enracinée ou sur un IOS emprisonnés.

"En seulement 5 secondes de connection USB, le jeton d'accès est disponible sur iOS via une attaque de juice jacking, sans que le jailbreak nécessaire soit sur ​​le système de fichiers. Sur Android, il peut être consulté via le mode de récupération qui est plus délicats et nécessitent plus de temps." c'est ce que Chilik Tamir, architecte en chef pour MetaIntell a dit à The Hacker News.


D'AUTRES MENACE APPS

En outre, n'importe quelle application smartphone en 3éme partie avec la permission d'accéder au système de fichiers de l'appareil peut lire ce fichier et capable de voler les jetons d'accès des utilisateurs de Facebook à distance, at-il dit.

Les chercheurs ont surnommé la vulnérabilité comme «détournement de session de connexion Social.». Une fois exploitée, elle pourrait permettre à un attaquant d'accéder aux informations de compte Facebook de la victime en utilisant le jeton d'accès de la session c'est la méthode de détournement.

Vidéo de démonstration: VOLER JETON FACEBOOK VIA VIBER

Les chercheurs ont publié une vidéo sur Youtube, démontrant la vulnérabilité signalée dans l'une des applications de messagerie 'VIBER' la plus populaire sur iOS.

Tous les iOS et Android sont vulnérables à cette attaque, qui utilise Facebook SDK pour l'application de connexion et le stockage aux utilisateurs un accès en clair via le jeton sur le dispositif, dire de Chilik Tamir à The Hacker News dans un e-mail.

RÉPONSE PASSIF DE L'ÉQUIPE DE SÉCURITÉ DE FACEBOOK

L'équipe de MetaIntell a déjà informé l'équipe de sécurité de Facebook sur la vulnérabilité, mais il semble que Facebook n'est pas d'humeur à mettre à jour avec un correctif leur SDK .

Ce qu'il faut faire?

Les utilisateurs d'applications mobiles sont priés de ne pas utiliser l'option "Facebook Login 'dans les applications mobiles et d'interdire aux applications d'utiliser leur connexion Facebook. Il est recommandé aux développeurs de déplacer les jetons d'accès de leurs utilisateurs du système de fichiers de l'appareil pour garantir le stockage en ligne avec un canal crypté.

Source: thehackernews

Partager cet article

Repost 0

Commenter cet article