Mobiele beveiliging Facebook inloggegevens onder de maat

·

Facebook beveiligingDe ontwikkelaar Gareth Wright heeft in een recente blogpost de beveiliging van de benodigde gegevens om op Facebook in te loggen onder de loep te genomen. Het blijkt relatief eenvoudig om de benodigde gegevens van een toestel met Android of iOS te bemachtigen en deze gegevens kunnen vervolgens gebruikt worden om op een ander toestel op Facebook in te loggen. Hoewel de beveiliging van de officiële Facebook applicatie het slechtst is, kunnen de gegevens ook andere applicaties worden bemachtigd.

Meer specifiek gaat het om de oAuth key en secret die in een property list (plist) bestand worden opgeslagen in de directory van de Facebook applicatie. Het betreffende bestand kan eenvoudig van het bestandssysteem geplukt worden en op een andere iPhone, iPod touch of iPad worden geplaatst om op het andere toestel op Facebook in te loggen. De benodigde gegevens die worden opgeslagen om in te loggen op de Facebook applicatie worden niet uniek gekoppeld aan het gebruikte toestel en blijken bruikbaar tot 1 Januari 4001. Vergelijkbare gegevens uit andere applicaties die toegang tot Facebook kunnen hebben, zoals het populaire Draw Something, zijn 60 dagen bruikbaar.

De ontwikkelaar die de gebrekkige beveiliging onder de aandacht bracht heeft meerdere scenario’s uitgewerkt hoe een kwaadwillende de benodigde gegevens zou kunnen bemachtigen. Het is bijvoorbeeld mogelijk om dat een PC geïnfecteerd wordt, zodat het plist-bestand automatisch gekopieerd wordt wanneer een toestel via USB wordt verbonden. Daarnaast is het mogelijk hardware samen te stellen of aan te passen (zoals een speaker dock) en het bestand binnen enkele seconden te kopiëren als er een toestel met Facebook aan verbonden wordt.

In een reactie bagatelliseert Facebook het probleem door te stellen dat het beveiligingsprobleem pas ontstaat als gebruikers een jailbreak uitvoeren, waarmee toegang tot het volledige bestandssysteem kan worden verkregen of wanneer een kwaadwillende fysieke toegang tot een toestel heeft. Deze uitleg schetst echter een onvolledig beeld: hoewel een kwaadwillende zich toegang zal moeten verschaffen tot het bestandssysteem om de benodigde gegevens te bemachtigen is dit ook mogelijk als de gebruiker zelf nog geen jailbreak uit had gevoerd. Userland gebaseerde jailbreaks zoals JailbreakMe.com hebben bovendien in het verleden al bewezen dat fysieke toegang geenszins vereist is om het bestandssysteem van een iPhone, iPod touch of iPad te kunnen benaderen. Zonder een beveiligingsupdate van Facebook en de wijze waarop zij toegang verschaft aan andere applicaties, is het voor gebruikers dan ook niet mogelijk om zich afdoende tegen de beschreven risico’s te beschermen.

door Paul Pols

Paul Pols is onze editor en schrijver op het gebied van beveiliging. Zijn interesse voor techniek en het 'hacken' daarvan begon al vroeg. Paul ziet het jailbreaken van iPhones, iPods touch en iPads als het recht van iedere gebruiker. In het dagelijks leven is Paul werkzaam als IT Security Expert bij Fox-IT en voert in dat kader onder andere penetratietesten uit op iOS apps en devices.

Reacties zijn gesloten voor dit artikel.