Уязвимость в iPhone приложениях позволяет хакерам получить доступ к личным данным пользователей

Уязвимость в системе безопасности популярных приложений для iPhone, таких как Facebook и Dropbox, позволяет злоумышленникам копировать информацию с одного устройства на другое при помощи специальной программы в том случае, если злоумышленник получил физический доступ к смартфону. Это фактически дает доступ хакеру к чужой учетной записи. Об этом сообщает The Next Web.

Приложения для iPhone Facebook и Dropbox, хранят аутентификационные данные на устройстве в незашифрованном виде, что и позволят хакерам их скопировать.

Об этой уязвимости в мобильном клиенте Facebook ранее сообщил эксперт по информационной безопасности Гарет Райт (Gareth Wright). По его словам, приложение хранит аутентификационные данные в файле формата .plist в незашифрованном виде. Однако файловая система iOS-устройств официально не позволяет работать с файлами напрямую, их можно скопировать при помощи специального программного обеспечения.

Воспользовавшись программой для компьютера iExplorer, Райт перенес файл com.Facebook.plist, содержащий данные личной учетной записи, со своего iPhone на смартфон друга, где также был установлен мобильный клиент Facebook. После этой операции на втором устройстве можно было просматривать всю информацию, которая содержалась в учетной записи Райта, так, если бы это был его личный телефон.

В Facebook отметили, что уязвимость в мобильном приложении может быть использована только в том случае, если ОС смартфона была модифициована, и если хакеру удалось получить физический доступ к устройству. После этого некоторые СМИ написали, что для успешного взлома необходимо совершить процедуру JailBreak. Однако в The Next Web утверждают, что на самом деле это делает устройство еще более уязвимым.

Журналисты издания повторили процедуру, описанную Райтом, и подтвердили возможность атаки без подвергания устройства процедуре JailBreak.

По данным издания, аналогичная уязвимость свойственна также мобильному клиенту для работы с популярным облачным сервисом Dropbox.

Также оказалось, что файлы могут быть скопированы даже в том случае, если на смартфоне установлен пароль. Вся файловая система не зашифрована, даже если используется пароль, он может обеспечить защиту только определенной информации, к примеру, размещенной в электронной почте.

Несмотря на то, что хакеру необходимо получить физический доступ к устройству, чтобы скопировать необходимые файлы, это не означает, что ему нужно его украсть. По словам Райта, хакерское приложение может быть установлено на публичный компьютер. В этом случае оно будет тайно собирать данные пользователей, которые подключили к нему свое устройство.