facebook、dropbox登录凭据在ios和android上容易被盗
安全研究人员加雷思·赖特“偶然发现”了一种让一台iOS或Android设备认为自己登录了另一台设备的Facebook帐户的方法。显然,该方法也适用于Dropbox,即下一个Web报告。只要从你的iOS或Android设备上复制一个“plist”并粘贴到另一个设备上的同一个目录(使用像iExplorer这样的免费Mac应用程序),任何人都可以轻松地让Facebook和Dropbox(可能还有其他一些应用程序)认为他们就是你。就这么简单。Facebook就此事发表声明:
Facebook's iOS and Android applicati*** are only intended for use with the manufacture provided operating system, and access tokens are only vulnerable if they have modified their mobile OS (i.e. jailbroken iOS or modded Android) or have granted a malicious actor access to the physical device. We develop and test our application on an unmodified version of mobile operating systems and rely on the native protecti*** as a foundation for development, deployment and security, all of which is compromised on a jailbroken device. As Apple states, "unauthorized modification of iOS could allow hackers to steal personal information ... or introduce malware or viruses." To protect themselves we recommend all users abstain from modifying their mobile OS to prevent any application instability or security issues.
虽然Facebook的声明似乎暗示你可能需要运行一个越狱或根设备来实现这一点,但事实并非如此。即使你的iOS设备没有被越狱,并且上面有密码,你的访问令牌和OAuth密钥都是可用的,这意味着任何人只要将这些文件复制到他们的设备上,就可以进入你的Facebook帐户,以及任何使用你的板载Facebook凭据的应用程序(比如DrawSomething)。
因此,如果一个有恶意意图的人进入你的设备,Facebook承认他们可以刷你的访问令牌。怎样?因为Facebook将这些代币存储在未加密的纯文本文件中。虽然小偷在查看你的电子邮件、联系人和银行账户信息之前抢夺你的Facebook代币的情况不太可能发生,但黑客攻击仍然存在。Next Web的Matthew Panzarino使用位于Facebook和Dropbox中的plists成功复制了Wright的实验,并指出即使你没有丢失**,你仍然可能处于危险之中:
If a program was running on a public computer, or if someone had modified a public charging station to siphon off the plain-text .plist file, they could theoretically gain access to that information, whether you're jailbroken or not.
尽管这两种情况似乎都不太可能发生,但赖特并没有那么确信。他对特尼卡说:
The scenario is something that happens a lot at universities and workplaces as users charge their devices.
赖特告诉ZDnet,Facebook目前正在进行修复,但和往常一样,如果你的设备被盗,一个简单的远程擦除将减轻任何丢失数据的担忧。他在自己的网站上给出了最后一句警告:
The biggest risk is from malware and viruses designed to slurp data from devices plugged into PC's, so despite what any other articles say; jailbroken or not you ARE vulnerable!
目前,请密切关注可疑的充电站。
更新:Dropbox已就此事发表声明:
Dropbox's Android app is not impacted because it stores access tokens in a protected location. We are currently updating our iOS app to do the same. We note that the attack in question requires a malicious actor to have physical access to a user's device. In a situation like that, a user is susceptible to all sorts of threats, so we strongly advise safeguarding devices.
- 发表于 2021-04-21 21:32
- 阅读 ( 177 )
- 分类:互联网
你可能感兴趣的文章
数百万个应用程序如何容易受到一次安全黑客攻击
...方应用程序或网站。一些最常见和最著名的例子是Google、Facebook和Twitter。 ...
dropbox黑客攻击影响6800万用户,你也可以起诉苹果。。。【科技新闻摘要】
...l、Spotify和YouTube。不过,谷歌未来将增加更多应用,包括Facebook Messenger、LinkedIn、Evernote和Google Keep。所有的搜索都是在你的**上进行的,所以无论你是否连接到互联网都可以使用。 ...
使用密码管理器的7个理由
...如,如果您使用LastPass,它可以在Windows、Mac、Linux、iOS和Android上使用。您还可以找到Firefox、Chrome、MicrosoftEdge、Opera和Safari浏览器的插件。 ...
适用于各种场合的最佳密码管理器
...。如果您想访问另一台设备上的同一数据库,您必须使用Dropbox或Google Drive等云存储解决方案手动共享它。这很容易做到,但这是一个有点手动的过程,不是每个人都能做到的。 ...
iphone的5个最佳密码管理器
...——包括你的iPhone。您可以使用1密码同步服务、iCloud、Dropbox或Wi-Fi同步数据库。 ...
如何只用电话号码追踪手机的位置
...、书签、照片、录制的视频甚至短信的列表。你还可以从Facebook和Tinder等各种社交应用中找到即时消息。 ...
如何将您的facebook照片和视频传输到dropbox
Facebook的数据传输工具允许你将照片和视频传输到Dropbox和Koofr,而无需手动下载每一张相册并重新上传。如果你用这个工具把图片移到谷歌照片上,你就在家了。 从你的电脑上,访问Facebook的网站并登录你的帐户。单击右上角的...
如何将音乐复制到android手机
...应用程序,您可以直接从云存储提供商(包括Google Drive和Dropbox)将文件下载到设备上。您可以使用类似CloudPlayer的替代方案。 先把你的音乐上传到网上的谷歌硬盘。单击左上角的“新建”,然后选择“文件上载”单独上载文件...
很划算:mac os x、windows和ios的1密码优惠30%
...用卡和其他安全注释,这些信息都可以通过加密文件中的Dropbox进行同步,以便在其他平台上使用。该应用程序与Chrome、Firefox和Safari的浏览器插件协同工作,这些插件可以在您输入登录信息时保存信息,并在您访问网站时快速输...
dropbox说,它没有遭到黑客攻击,发布的密码“是从无关的服务中被盗的”
...文件被贴到了Pastebin上,标题是一个挑衅性的标题,声称Dropbox遭到了黑客攻击——文件本身包含大约400个电子邮件和密码组合,据称这些组合打开了Dropbox帐户。据推测,这400个泄露的密码只是黑客访问的近700万个电子邮件/密码...
0 篇文章
