Facebook- en Dropbox-app bevatten ernstig beveiligingslek

De kwetsbaarheid in de Facebook-app werd ontdekt door de beveiligingsonderzoeker Gareth Wright. Wright ontdekte dat de Facebook-app gegevens van gebruikers bewaard in plist-bestand. Door het bestand te exporteren en te kopiëren naar een ander iOS-apparaat wist de blogger Scoopz vervolgens prive-berichten te versturen via en posts te plaatsen op de wall van het Facebook-profiel van Wright.

Jailbreaken is niet nodig

TheNextWeb probeerde de hack uit en bevestigt dat deze werkt. Facebook geeft in een reactie aan de website aan dat de app alleen bedoeld is voor gebruik op het door de fabrikant verstrekte besturingsysteem. Access tokens zouden alleen kwetsbaar zijn als gebruikers het mobiele besturingssysteem hebben aangepast. Facebook doelt hiermee op jailbreaken.

Opvallend genoeg is het echter niet noodzakelijk een apparaat te jailbreaken om de hack te kunnen uitvoeren. Met behulp van iExplore zou het gewoon mogelijk zijn de bestanden van een iOS-apparaat zonder jailbreak te kopiëren. De verklaring van Facebook blijkt dus niet te kloppen.

Fysieke toegang

iExplore is software waarmee het mogelijk is een iOS-apparaat uit te lezen als flash drive. Hiervoor moet het apparaat met behulp van een USB-kabel aan een computer worden bevestigd. Hackers hebben dus fysieke toegang nodig tot je iOS-apparaat om bestanden te kunnen kopiëren. In een reactie aan Wright stelt Facebook te werken aan een oplossing.

© PXimport

Het plist-bestand van de Dropbox-app

Ook ontdekte TheNextWeb dat de Dropbox-app dezelfde kwetsbaarheid bevat. De Dropbox-app blijkt een vergelijkbaar plist-bestand te bevatten, waar op dezelfde wijze misbruik van kan worden gemaakt. Dropbox laat in een reactie aan TheNextWeb weten dat het bedrijf bezig is met het updaten van de iOS-app.