Facebook y Dropbox para iOS y Android tienen un grave agujero de seguridad

Se ha desatado un escándalo más de seguridad que involucra a la popular red social Facebook, la cual en sus clientes para dispositivos móviles Android e iOS tienen un fallo de seguridad que permitiría a un usuario copiar un archivo de texto plano fuera del dispositivo dando acceso a cualquier usuario a nuestra cuenta, perfil y contenido del terminal en cuestión.

El tema no terminaría ahí, ya que thenextweb ha decidido ir un poco más allá y ha dado a conocer que el cliente móvil de Dropbox también sufriría esta vulnerabilidad, la cual radicaría en la propia aplicación la que almacena la información en formato de texto plano, en lugar de cifrar los archivos para que terceros no puedan acceder a ella.

Facebook ha respondido con la siguiente declaración:

Las aplicaciones de Facebook para iOS y Android han sido diseñadas exclusivamente para el uso del sistema operativo que el fabricante proporciona y los tokens de acceso sólo son vulnerables si se ha modificado el sistema operativo móvil (es decir, jailbreak para iOS o Root en Android) o habiendo concedido acceso a un actor malicioso en el dispositivo físicamente

A pesar de que claramente Mark Zuckerberg y compañía quieren lavarse las manos con estas declaraciones, descargando la responsabilidad a los métodos de liberación o hackeo de los dispositivos móviles, el mismo sitio que da a conocer la noticia ha realizado extensas pruebas con dichas aplicaciones en terminales sin jailbreak, confirmando que esto es completamente falso.

La aplicación de Facebook en iOS es absolutamente vulnerable, ya que es posible acceder a la información utilizando la herramienta iExplore de forma física, que es la misma que utilizó el investigador en seguridad Gareth Wright para realizar su hack sin necesidad de tener un dispositivo liberado.

Por lo tanto, todos los dispositivos son vulnerables a este defecto, debido a la forma en que Facebook maneja el archivo .Plist que contiene la información del usuario. Al parecer Facebook ya esta consciente del problema y ya estaría trabajando en una actualización para solucionar este problema.

En el caso de Drobpox seria muy similar, ya que se exhibe el mismo error con el archivo .Plist sin necesidad de tener Jailbreak en el dispositivo, permitiendo que cualquier programa malicioso pudiera explotar este error y hacerse de información personal.

Si eres usuario de cualquiera de estas aplicaciones, no debes entrar en pánico, solo hay que mantenerse alejado de las estaciones de carga y computadoras públicas hasta que las aplicaciones sean actualizadas para solucionar el problema. Cabe la pena destacar que hasta el momento no hay evidencia de que alguien esté usando este método para recopilar información.