bumiayu hacker news - Sebuah
lubang keamanan dalam aplikasi mobile Facebook dapat dengan mudah
disadap oleh hacker untuk mencari informasi pribadi tentang Anda.
Masalahnya adalah bahwa aplikasi Facebook untuk IOS dan perangkat Android tidak mengenkripsi login untuk aplikasi buruk atau koneksi USB beracun.
"Sebuah aplikasi berbahaya, atau dua menit dengan koneksi USB, adalah semua yang dibutuhkan untuk mengangkat kepercayaan sementara dari salah satu perangkat," Bill Ray menulis dalam The Register .
Lubang keamanan ini ditemukan oleh Gareth Wright , seorang pengembang yang berbasis di Inggris dari aplikasi untuk perangkat IOS dan Android.
Wright, menulis dalam sebuah blog
, mengatakan dia menemukan cacat sementara mengaduk-aduk beberapa
direktori aplikasi di iPhone dengan perangkat gratis untuk melakukan
itu.Ia menemukan akses token Facebook di salah satu permainan di telepon.
Setelah menyalin kode token, ia menggunakannya untuk mengekstrak informasi dari Facebook menggunakan Query Language Facebook. "Benar saja, aku bisa menarik kembali cukup banyak informasi dari account Facebook saya," tulisnya. Dan jika dia bisa melakukan itu, siapa saja yang menyambar salah satu token bisa melakukannya juga.
Pengalaman Wright dengan token diaduk rasa ingin tahunya tentang aplikasi Facebook sendiri. Mengaduk-aduk dalam direktori tersebut app, ia mengamati, "Apa yang terkandung dalam mengejutkan." Di dalam Plist-sebuah app file teks biasa yang berisi pengguna pengaturan-ada yang tidak terenkripsi kunci yang memberi siapa pun yang memilikinya akses penuh ke akun Facebook.
Sebagai percobaan, Wright dikirim plist ke teman. Temannya diganti plist Wright untuk sendiri.
"Rahang saya turun sebagai selama beberapa menit berikutnya saya melihat muncul tulisan di dinding saya, pesan pribadi yang dikirim, halaman web dan aplikasi menyukai menambahkan," Wright menulis.
Pernah ilmuwan, Wright memutuskan untuk menggambarkan bagaimana seorang hacker bisa panen plists dari telepon. Dia menulis beberapa kode yang dapat digunakan untuk menginfeksi PC, perangkat lunak, bahkan dermaga pembicara. Kode menyikapi plists dari perangkat apapun itu datang dalam kontak dengan-walaupun bisa dengan mudah tweak untuk menyalin daftar.
Selama seminggu, lebih dari 1.000 plists terletak dan dihitung, Wright menulis.
Pengembang telah menginformasikan Facebook dari cacat dan raksasa jaringan sosial mengatakan bahwa itu bekerja pada memperbaiki. Tapi, katanya, bahkan jika Facebook plugs lubang di app, para anggotanya masih tetap rentan terhadap serangan dengan menggunakan token teks biasa yang banyak pengembang yang menyimpan dalam plists permainan mereka.
Awal tahun ini, Facebook Android app dikutip sebagai salah satu dari beberapa yang memata-matai pesan SMS dibuat pada ponsel itu diinstal pada. Facebook membantah tuduhan itu. Meskipun aplikasi yang meminta izin untuk menerima, memproses dan menulis pesan teks serta membaca mereka komunikasi, aplikasi tidak menggunakan mereka izin, kata Facebook.
oleh bumiayu hacker news
Masalahnya adalah bahwa aplikasi Facebook untuk IOS dan perangkat Android tidak mengenkripsi login untuk aplikasi buruk atau koneksi USB beracun.
"Sebuah aplikasi berbahaya, atau dua menit dengan koneksi USB, adalah semua yang dibutuhkan untuk mengangkat kepercayaan sementara dari salah satu perangkat," Bill Ray menulis dalam The Register .
Lubang keamanan ini ditemukan oleh Gareth Wright , seorang pengembang yang berbasis di Inggris dari aplikasi untuk perangkat IOS dan Android.
Setelah menyalin kode token, ia menggunakannya untuk mengekstrak informasi dari Facebook menggunakan Query Language Facebook. "Benar saja, aku bisa menarik kembali cukup banyak informasi dari account Facebook saya," tulisnya. Dan jika dia bisa melakukan itu, siapa saja yang menyambar salah satu token bisa melakukannya juga.
Pengalaman Wright dengan token diaduk rasa ingin tahunya tentang aplikasi Facebook sendiri. Mengaduk-aduk dalam direktori tersebut app, ia mengamati, "Apa yang terkandung dalam mengejutkan." Di dalam Plist-sebuah app file teks biasa yang berisi pengguna pengaturan-ada yang tidak terenkripsi kunci yang memberi siapa pun yang memilikinya akses penuh ke akun Facebook.
Sebagai percobaan, Wright dikirim plist ke teman. Temannya diganti plist Wright untuk sendiri.
"Rahang saya turun sebagai selama beberapa menit berikutnya saya melihat muncul tulisan di dinding saya, pesan pribadi yang dikirim, halaman web dan aplikasi menyukai menambahkan," Wright menulis.
Pernah ilmuwan, Wright memutuskan untuk menggambarkan bagaimana seorang hacker bisa panen plists dari telepon. Dia menulis beberapa kode yang dapat digunakan untuk menginfeksi PC, perangkat lunak, bahkan dermaga pembicara. Kode menyikapi plists dari perangkat apapun itu datang dalam kontak dengan-walaupun bisa dengan mudah tweak untuk menyalin daftar.
Selama seminggu, lebih dari 1.000 plists terletak dan dihitung, Wright menulis.
Pengembang telah menginformasikan Facebook dari cacat dan raksasa jaringan sosial mengatakan bahwa itu bekerja pada memperbaiki. Tapi, katanya, bahkan jika Facebook plugs lubang di app, para anggotanya masih tetap rentan terhadap serangan dengan menggunakan token teks biasa yang banyak pengembang yang menyimpan dalam plists permainan mereka.
Awal tahun ini, Facebook Android app dikutip sebagai salah satu dari beberapa yang memata-matai pesan SMS dibuat pada ponsel itu diinstal pada. Facebook membantah tuduhan itu. Meskipun aplikasi yang meminta izin untuk menerima, memproses dan menulis pesan teks serta membaca mereka komunikasi, aplikasi tidak menggunakan mereka izin, kata Facebook.
oleh bumiayu hacker news
0 komentar:
Speak up your mind
Tell us what you're thinking... !