Ajouter un commentaire

Une vulnérabilité critique dans le SDK Facebook met en danger des dizaines de millions d'utilisateurs

Par:
fredericmazue

ven, 04/07/2014 - 16:35

Des chercheurs de MetaIntell, une entreprise spécialisée dans les gestions des risques de sécurité liés aux applications mobiles ont découvert une faille critique dans le SDK Facebook. Cette faille met des millions d'utilisateurs en danger, le risque étant qu'ils se fassent hacker leur compte Facebook.

Le SDK Facebook permet l'authentification dans des sites tiers au moyen du Social Login de Facebook, qui utilise le protocole OAuth2. Ce protocole utilise un jetond'authentification qui ne doit être communiqué à personne.

Malheureusement le SDK Facebook dans ses version pour iOS et Android stocke le jeton en clair sur le système de fichiers du smartphone, et ce jeton peut être relativement facilement récupéré. La vidéo ci-dessous fait la démonstration du hack d'un compte Facebook au moyen d'un jeton ainsi volé.

Le jeton peut être récupéré sur iOS sans que celui-ci ne soit jailbreaké et c'est juste un peu plus difficile sur Android ainsi que l'a expliqué Chilik Tamir, Chief architect chez MetaIntell à Hacker News.

Si n'y avait que la connexion USB pour voler le jeton, cela sera relativement peu grave. Malheureusement, le jeton peut aussi être volé par des applications qui ont les droits d'accès au système de fichiers du smartphone.

Une faille gigantesque aux yeux des experts de MetaIntell, qui soulignent que 71 des 100 applications gratuites iOS les plus populaires utilisent le Social Login du SDK Facebook, ce qui représente quand même 1,2 milliard de téléchargement,. Du côté d'Android ce sont 31 des 100 applications les plus populaires qui utilisent le Social Login.  Ce qui représente 100 milliards de téléchargements...

Pour les experts de MetaIntell la parade est simplem. Les utilisateurs de smartphones doivent radicalement bannir la connexion Facebook réalisée par des applications tierces.

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 ZZZZZ  PPPP   III  M   M  EEEE 
Z P P I MM MM E
Z PPPP I M M M EEE
Z P I M M E
ZZZZZ P III M M EEEE