Bug delle app di Facebook e Dropbox: credenziali degli utenti ritrovabili troppo facilmente

Non c’è mai da dormire sonni tranquilli, con i bug di sicurezza. E se è vero che per molti casi basta avere attenzione e buonsenso nell’uso delle app per contenerli, è anche vero che alcuni di questi sono abbastanza pericolosi e meriterebbero una rapida sistemazione. L’ultimo bug del genere affligge le applicazioni di Facebook e Dropbox, come riporta Macrumors.

Nell’immagine sopra è visibile solo Dropbox, ma la dinamica per entrambe le applicazioni è la stessa: il problema risiede in un file plist, facilmente recuperabile e contenente tutti i dati necessari all’autenticazione dell’utente. Ciò significa che con applicazioni apposite è possibile estrarre il plist incriminato dall’iPhone di un utente e caricarlo su un altro, avendo così libero accesso a qualsiasi dato personale presente su Facebook e a qualsiasi file caricato su Dropbox. Fortunatamente, la tecnica stessa implica un limite per lo sfruttamento di questo exploit: è necessario avere fisicamente il dispositivo da cui prendere i dati e collegarlo a un computer.

Facebook, per minimizzare la questione, cerca di difendersi attribuendo le colpe ai dispositivi rubati o sottoposti a jailbreak, tuttavia da alcune prove è stato dimostrato come qualsiasi iDevice, se privo di codice di protezione, può essere vittima dell’exploit. E la cosa, per giunta, non coinvolge solo iOS: il medesimo problema è presente anche nelle versioni per Android di Facebook e Dropbox. Un bug di sicurezza che di per sé non è certo il peggiore che si sia visto, ma dà fastidio vedere come le aziende curino certi aspetti come questi con troppa superficialità, affidandosi a un semplice plist tranquillamente rintracciabile ed esportabile per raccogliere i dati con un minimo di esperienza con software appositi. Ci auguriamo che, invece di accampare scuse e di accusare chi fa jailbreak per coprire una mancanza di impegno durante lo sviluppo delle app, si mettano sotto a produrre un bugfix in tempi ragionevoli, dimostrando un po’ più di attaccamento alla sicurezza dei propri utenti.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.