Facebook : une faille importante sur l'application Android et iOS
par [HG] TJ619 , Kevin HattererEncore une fois, Facebook fait parler de sa sécurité, mais toujours en mal.
Il y a quelques jours, un développeur britannique du nom de Gareth Wright a découvert, sur les applications mobiles iOS et Android du célèbre réseau social, une faille de sécurité plutôt importante.
En effet, ce dernier, en utilisant une application pour explorer les dossiers du téléphone (NDLR : iExplorer, EsExplorer), a trouvé un fichier contenant toutes ses informations de connexion dans un dossier non-crypté avec une date d'expiration au 1er janvier 4001. Pour vérifier l'étendue du problème, il a envoyé ce dossier à un ami qui l'a mis sur son téléphone après avoir sauvegardé le sien, et ni-une ni-deux, il réussit à se connecter avec le compte de Gareth.
Après avoir fait un backup de son propre plist et s’être déconnecté de Facebook, il a copié mon fichier sur son appareil et lancé l’application Facebook. Je suis resté bouche bée quand, quelques minutes plus tard, j’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des applications installées…
Il a alors pris contact avec Facebook en expliquant le souci. Ce dernier a indiqué actuellement travailler sur le problème pour le régler. De plus, la société se veut rassurante en expliquant par le biais d'un responsable :
Les applications Facebook sur iOS et Android sont uniquement destinées à une utilisation avec la version d’origine des systèmes d'exploitation. Les dispositifs de sécurité ne sont vulnérables que si le système d'exploitation mobile a été modifié ou qu'un accès à l'appareil physique a été accordé à une personne malveillante. Nous développons et testons notre application sur une version non modifiée des systèmes d'exploitation des téléphones mobiles et seules les protections natives sont utilisées comme bases de développement, de déploiement et de sécurité. Ces protections sont compromises sur un appareil « jailbreaké ». Comme le dit Apple, "toute modification non autorisée de l'iOS pourrait permettre à des pirates de voler des informations personnelles... ou d'introduire des logiciels malveillants ou des virus.
Mais Gareth dément en expliquant avoir réalisé toutes les opérations sur son terminal non jailbreaké. En effet, l'application utilisée pour récupérer le fichier est disponible sous iOS officiel. Cela confirme qu'il suffirait que le smartphone soit connecté à un ordinateur infecté d'un malware pour pouvoir récupérer ce dossier. Cependant, ce n'est pas la peine de tourner à la paranoïa, aucun cas de vol de données n'a encore été recensé.
D'autres ont réussi cet exploit avec diverses applications par exemple The Next Web qui a réussi à se connecter à un compte Dropbox en modifiant le fichier.
Il est donc fort probable que bien d'autres applications soient mises en cause...