Occhi puntati su una falla che coinvolge sistemi mobili concorrenti, sbloccati e non. L’app di Facebook e Dropbox non protegge a sufficienza i dati d’accesso. Una leggerezza da non sottovalutare?
Una bizzarra vulnerabilità, individuata nei file di configurazione (.plist) di certe applicazioni mobili, ha fatto emergere problemi sia nel mondo iOS che in quello di Android. Il problema di sicurezza è apparso inizialmente confinato all’applicativo di Facebook, utilizzato con dispositivi dal firmware sbloccato, ma nelle ultime ore sono emersi nuovi e inquietanti particolari.
Il ricercatore di sicurezza Gareth Wright è stato il primo a lanciare l’allarme, rivelando che “Facebook memorizza le informazioni personali con i parametri di accesso in un semplice formato testo, piuttosto che usando la crittografia”, e che il file non sarebbe assolutamente protetto. La replica del noto social network lascia intendere che serva comunque un dispositivo aperto dal “jailbreak” per arrivare a prelevare queste informazioni.
In realtà, Wright ha dichiarato di aver raggiunto, copiato e letto il file .plist salvato sul suo iPad non sbloccato, utilizzando un programma per computer come iExplorer. Anche i dispositivi senza jailbreak sono quindi vulnerabili, perché i file con le credenziali del profilo utente sono registrati in chiaro invece di essere cifrati.
Il team di The Next Web ha scoperto che anche l’applicazione ufficiale Dropbox utilizza la medesima filosofia ed è quindi afflitta dalla stessa falla. Per rubare dati altrui con questo stratagemma, funzionante anche in ambito Android, un malintenzionato deve accedere fisicamente al dispositivo mobile tramite USB, ma un programma ad hoc installato su un computer pubblico potrebbe eseguire l’operazione sui file .plist in modalità automatica per tutti gli smartphone e tablet che si colleghino a esso.
Fonte: Roberto Pulito - punto-informatico.it