2012年4月8日 星期日

iOS與Android版Facebook傳含有安全漏洞


iOS與Android版Facebook傳含有安全漏洞

Gareth Wright本周揭露iOS與Android版的Facebook行動程式含有安全漏洞,雖然Facebook表示該漏洞只會影響逃獄的機種,但遭Wright駁斥。

資安研究人員Gareth Wright本周揭露iOS與Android版的Facebook行動程式含有安全漏洞,因為它在裝置上以明文儲存使用者的設定檔,並容許其他應用程式或USB連結存取。雖然Facebook表示該漏洞只會影響逃獄的機種,但遭Wright駁斥。

之後他把存在自己手機上的Facebook設定檔案送給友人檢驗,發現友人可自由地登入他的Facebook帳號,發表或回應訊息,還使用了他以Facebook帳號登入的Draw Something軟體,在利用其他4個不同的裝置安裝其Facebook設定檔且未收到警告後,他便通知了Facebook。

在等Facebook回應的期間Wright進行了一些概念性的驗證,包括在一台共享PC上安裝軟體,以用來竊取任何透過該PC充電的裝置設定檔、一個iPhone程式、一個存檔遊戲的編輯工具、還有必須實際接觸裝置的硬體,以及一個修改過的喇叭底座,他透過上述管道在1周內可存取上千筆的Facebook設定檔。

Wright說,除非Facebook修補該漏洞,否則當他要用共享電腦來替裝置充電或使用公共的音樂喇叭底座時,都會三思而後行。

在此一安全漏洞傳出後,Facebook指出,該公司的iOS與Android程式只可用在製造商所提供的作業系統上,只有在手機逃獄時,Facebook設定檔才會受到危害;該公司是在未被修改過的作業系統上測試應用程式,並仰賴作業系統的保護作為開發、部署與安全的基礎,逃獄裝置則破壞了系統,而且蘋果也聲明非經授權變更iOS將讓駭客竊取個人資訊或帶來惡意程式。但Wright則說,不論有無逃獄的裝置都一樣危險。(編譯/陳曉莉)

轉載自《iThome

沒有留言:

張貼留言