Kritikus biztonsági hiba a mobilos Facebook alkalmazásokban

Facebook

Az okostelefonok és a Facebook elválaszthatatlanok. A rengeteg funkciónak - melyet a szociális oldal kínál - emberek milliói áldozzák fel életüket nap mint nap, anélkül, hogy túlzottan odafigyelnének, milyen alkalmazások és hogyan férnek még hozzá az alkalmazás által tárolt adataikhoz a telefonon. Persze roppant kényelmes, hogy a hivatalos app segítségével 2 kattintással gyakorlatilag a képernyő bármely pontjáról postolhatjuk sorsdöntő tevékenységünket, de ismét sz*r került a palacsintába. Pontosabban most jutottunk el oda, hogy a csokinak még sem annyira csoki íze van.

Nem fogom szépíteni a tényeket, mivel úgy gondolom, hogy ekkora banális hibát egy ilyen oldal és közösség fenntartói nem engedhetnek meg maguknak. És nincs semmi, amivel kimenthetnék magukat.

A probléma mind iOS-en és Android-on is jelentkezik. Miután bejelentkezünk, egy úgynevezett token-t küld a szerver, ami a tényleges hozzáférést engedélyezi az oldal erőforrásaihoz (mint amikor a PIN kódot beírjuk bankkártyás fizetésnél). Ezt normális helyeken komoly erőkkel védik, és titkosítják, hiszen ha megszerzi valaki, akkor onnantól szabad kezet kap az adott fiók felett.

Amikor egy alkalmazást összekötünk a Facebook alkalmazással a telefonon, az adott program hozzáfér a tokenhez, hogy közvetlenül lehessen mókolni belőle. Ez a hozzáférés egy életre szól, illetve az app törléséig. Ugye általában ezzel nem is lenne baj, mert többnyire tudjuk, hogy mit csinál a program. És ez a roppant kényes adat titkosítva van, tehát még véletlenül sem fordulhat elő, hogy valaki ügyesen megkaparintsa és ellenünk használja. Normális esetben így működik, de a Facebook-nál erre is tettek magasról.

Az alkalmazásuk az említett token-ben sima, titkosítatlan formában dobálja a különböző programoknak a jelszavunkat, amihez ez után a készítő könnyedén hozzáférhet. Nem egy md van rá, de mivel az átlagos Joe rendszerint mindent engedélyez, amivel Facebook-ra tud postolgatni közel fénysebességgel, ezért csak idő kérdése, mire a fejlesztő úgy dönt, hogy a háttérben elküdeti magának a jelszavakat. És a legszebb, hogy a felhasználó nem is fog tudni róla.

Természetesen a Facebbok-nál már lázasan dolgoznak a probléma megoldásán - bár úgy gondolom, hogy egy ilyen után inkább húzzák le magukat a WC-n...