Utilizatorii de tablete şi telefoane Apple au din nou motive de îngrijorare, după ce un specialist în securitate a dezvăluit o modalitate relativ simplă de interceptate a datelor de autentificare pentru conturile de Facebook şi Dropbox. Datele obţinute pot fi utilizate apoi pe un alt dispozitiv cu sistem Apple iOS, în scopul de a accesa profilul de utilizator al victimei.
Pentru a reuşi, este nevoie să avem acces fizic la dispozitivul victimei, fiind necesar să copiem din memoria acestuia fişierul cu extensie „.plist” utilizat pentru stocarea datelor de autentificare, pe care îl plasăm apoi în memoria dispozitivului nostru. Operaţiunea este posibilă atât cu dispozitivele Apple trecute mai întâi prin procedeul Jailbreak, dar şi cele neatinse, fiind necesară doar prezenţa unui PC, respectiv aplicaţia gratuită iExplorer.
Într-un comunicat de presă dat publicităţii de Facebook, compania explică cum aplicaţiile client pentru dispozitive iOS şi Android sunt testate numai cu versiuni nemodificate ale sistemului de operare, apelând la mijloacele native de protecţie implementate de Apple. Prin urmare, conform comunicatului de presă numai tabletele şi telefoanele Apple trecute prin procedeul jailbreak sunt considerate a fi compromise la capitolul securitate, devenind vulnerabile la tentative de furt ale datelor de autentificare. În realitate, procedura de copiere a datelor de autentificare de pe un dispozitiv pe altul nu necesită jailbreak.
Grav este şi că datele de autentificare sunt stocate în format text necriptat, ceea ce înseamnă că fişierul .plist nu trebuie decât transferat pe alt dispozitiv pentru utilizare, fără a fi nevoie de procedee complicate pentru decriptarea conţinutului acestuia. O persoană rău voitoare poate face asta manual, sau cu ajutorul unui software specializat, instalat pe un PC la care are acces victima. Un caz ideal este dat de PC-urile publice, cum sunt cele din internet cafe-uri sau staţii de lucru ale angajaţilor dintr-o firmă, vizitate de un număr mare de oameni.
Aparent, Facebook lucrează deja la un remediu pentru această problemă. Până atunci, utilizatorii sunt îndrumaţi să evite conectarea telefonului sau tabletei din dotare la staţii de încărcare publice, sau PC-uri la care au acces şi alte persoane.
Versiunea pentru dispozitive Android a aplicaţiei Dropbox nu este afectată de această vulnerabilitate. În schimb, utilizatorii de telefoane şi tablete cu sistem iOS sunt îndemnaţi să nu lase dispozitivul nesupravegheat şi să evite conectarea la PC-uri şi staţii de încărcare din locaţii publice, până ce versiunea actualizată a aplicaţiei va fi gata de download.