Lek in app geeft kwaadwillenden toegang tot Facebook-account

De Facebook-apps voor iOS en Android slaan tokens om automatisch in te loggen in plain text op. Daardoor kunnen kwaadwillenden door het kopiëren van een bestand toegang krijgen tot iemands Facebook-account zonder wachtwoord.

Het bewuste bestand .com.facebook.Facebook.plist, zou gekopieerd kunnen worden via een verborgen desktopcomputer of via publieke laadpunten, schrijft de ontdekker van het lek, Gareth Wright. Het vereist geen jailbreak of root-toegang om toegang tot het bestand te krijgen. In het bestand staan tokens, waardoor de applicatie weet op welk account het ingelogd is.

Door het bestand te kopiëren en de Facebook-app te openen, krijgt een gebruiker toegang tot het account van degene onder wiens account het bestand is aangemaakt. Er is geen bescherming tegen: het .plist-bestand kan op elk willekeurig apparaat worden gezet en worden uitgewisseld tussen iPhones en Android. Tweakers.net heeft de claim geverifieerd en het blijkt te kloppen: ook als de iPhone via een wachtwoord is beveiligd, heeft een kwaadwillende toegang tot de bestanden.

Facebook heeft een statement gemaakt dat is gepubliceerd door The Next Web, waarin Facebook het beveiligingsissue bevestigt. Facebook claimt echter dat het alleen mogelijk is op apparaten met root-toegang. Volgens Wright is dat onjuist en vereist het geen root-toegang, omdat het bestand niet op de systeem-partitie staat in zowel iOS als Android. In tegenstelling tot de site vraagt de app niet om verificatie als wordt ingelogd vanaf een andere locatie.

Wright waarschuwt gebruikers om uit te kijken met waar ze hun toestel inpluggen: het kopiëren van het bestand hoeft maar een paar seconden te duren. De iPhone-versie van Dropbox bevat hetzelfde beveiligingslek als de Facebook-app. Een zelfde soort probleem kwam eerder naar voren bij de desktopsoftware van Dropbox. De Android-versie van Dropbox zou wel veilig zijn.

Facebook lijkt niet van plan te zijn het probleem aan te pakken, terwijl Dropbox heeft beloofd snel een update uit te brengen. Facebook zou het probleem kunnen oplossen door tokens versleuteld op te slaan en om extra controle te vragen als een gebruiker inlogt vanaf een nieuw apparaat.

Facebook-app (met Sponsored Story)

Reacties (68)

Poekie McPurrr 6 april 2012 21:33

Probleem is natuurlijk wel dat nu Facebook steeds meer geïntegreerd raakt in andere sites (incl wat er laatst als (plan) werd gelanceerd, eenvoudig betalen via je Facebook account) dat als iemand je inlog heeft je financiele schade kunt oplopen hierdoor.
En dat hoeft niet niet eens directe schade te zijn maar stel dat er een je inlog heeft en uit jouw naam het bedrijf waarvoor je werkt te kakken zet of iets dergelijks.. Echt slecht dat Facebook dit niet beter beveiligd.. En tis zo simpel, klik op je Facebook app.. voer een x-cijferige code in die niet opgeslagen word en klaar.

jGS 6 april 2012 20:21

Sterk, ze zijn niet eens van plan het snel op te lossen bij facebook. En dat is dan één van de grootste bedrijven ter wereld...

Armin @jGS • 6 april 2012 21:58

Facebook intereseert zich geheel niets voor privacy. Dat hebben ze al herhaalde malen aangetoond.

Vorig jaar ontdekte een Amerikaans TV station dat bij WiFi-connecties het facebook login user+password zo in plain-text over de lucht ging. Het TV station liet zien dat gewoon bij de starbucks wifi te sniffen via simpele tools, je zo de gegevens kon bekijken en inloggen. Het werd aan Facebook gemeld, maar die hadden geen interesse er wat aan te doen.

Pas nadat andere organisaties amok gingen maken, heeft men het aangepast.

Maar dat dat enkel was op basis van de slechte publiciteit, blijkt nu maar weer. Gewoon diezelfde fout bij de telefoon apps. In dit geval is het gelukkig ietsje minder erg, dan bij de clear-text wifi, maar passwords horen gewoon nooit in plain text opgeslagen te worden.

Als de security te kraken is, of het bestand te koperen en daarna via bruto force te kraken (zoals bij Google Wallet) kun je nog goed argmenteren dat het een lek/hack is. Bij plain text is het botte onwil van de makers.

kmf @Armin • 6 april 2012 22:29

tja, als je gmail alleen via http verbind, dan gaat je logingegevens ook in plain text over de lucht.
Net als zoveel websites.

Armin @kmf • 6 april 2012 23:38

Fatsoenlijke websites laten het gewoon niet toe om een non-SSL verbinding te maken met login beveiligde onderdelen.

Overigens Gmail zelf staat ook standaard ingesteld op SSL.

En aldus de Google FAQ zélf kan het niet eens zonder SSL omdat de verbinding dan geweigerd wordt!? Ik heb zelf geen GMail, dus ik kan het niet testen, maar ik vind het zelfs dan nog een verschil of een gebruiker zelf de beveiliging uitzet of dat die gewoonweg standaard niet aan staat.

[Reactie gewijzigd door Armin op 25 juli 2024 09:55]

Kaalaamaazoo @Armin • 7 april 2012 11:48

FYi, Facebook gebruikt ook standaard https

Dennahz @Kaalaamaazoo • 7 april 2012 14:33

Weet je dat zeker? Ik heb het zelf in moeten schakelen via m'n settings.

Yezpahr @Armin • 7 april 2012 15:21

"Gebruik regulier loginformulier om in te loggen via beveiligde verbinding."

Staat er elke keer als je wilt reageren zonder ingelogd te zijn.
Per definitie zeg jij dus dat deze site niet fatsoenlijk is.

musiman

@Armin • 6 april 2012 23:52

@Armin In dit geval wordt het wachtwoord niet in plain text opgeslagen...

Maar de secret info (SBSessionAccessToken, FBSessionKey, FBSessionSecret) verder wel en dat is dus ook niet goed omdat je ook met die info in kunt loggen.

Ik snap de devs dan ook niet die het in hun botte hoofd halen op deze manier de "security" te implementeren! Wanneer worden devs geleerd op een secure manier te programmeren?

mcjambi @Armin • 6 april 2012 23:16

Die app voor de android heet FaceNiff, gratis te downloaden en het werkt nogsteeds.... Lol

Juicy @jGS • 6 april 2012 20:46

Een van de grootste bedrijven ter wereld ? Hoe kom je hier in hemelsnaam bij ?

Maarten21

@Juicy • 6 april 2012 21:54

Zo veel bedrijven zijn er niet ter wereld met een geschatte waarde van meer dan $100 miljard...

databit @Maarten21 • 6 april 2012 23:17

De algemene perceptie is dan ook dat deze geschatte waarde een complete 'overvaluation' is. Facebook is nog geen 10 jaar oud waardoor het zeer lastig in te schatten is wat de toekomst zal brengen. Kijkt men bijvoorbeeld naar een bedrijf met een gelijke waardering als Berkshire Hathaway, wat al sinds 1962 als hedgefund opereert, dan weet het een vrijwel constante jaaromzet van 143 miljard (2011) te genereren. Als men dit bedrag vergelijkt met de jaaromzet van Facebook ($3,5 miljard in 2011), dan is het niet geheel onlogisch dat men de conclusie trekt dat een tweede .com bubble onafwendbaar is.

[Reactie gewijzigd door databit op 25 juli 2024 09:55]

RV @databit • 7 april 2012 01:58

Maar, Facebook heeft op dit moment gewoon een hele hoop Goodwill. Dus jou theorie, hoe simpel en daardoor overtuigend hij voor 'men' ook zal klinken, is niet geheel logisch

waar worden verder conclusies genomen dat de tweede .com bubble onafwendbaar is, zoals jij hier zegt?

Sgreehder @databit • 7 april 2012 03:00

Facebook maakt echter wel forse winst, dus zo vanzelfsprekend is een tweede .com bubble niet.

Kevinp @Maarten21 • 6 april 2012 22:46

ja lid van de nieuwe internet bubble als "we" niet oppassen.

Benjamin- @Juicy • 6 april 2012 21:11

Het is maar hoe je het bekijkt. Kijk je naar winst, omzet, hoeveelheid werknemers/locaties of kijk je bijvoorbeeld naar invloed of hoeveelheid gebruikers. In de laatste 2 gevallen is FB zeker wel 1 van de grootste.

onkeltje 7 april 2012 10:36

Door Brainiacs, vrijdag 6 april 2012 20:24

Vind het een slechte zaak. Ik vraag me af waarom ze de tokens in het bestand niet koppelen aan het device. Zodat het alleen op het apparaat werkt waar het bestand op is aangemaakt.

En als ge u dan een nieuw apparaat aanschaft hoe doen we dat dan.
Is maar een vraag hoor ik ben niet zo slim.

Ik denk dat de beste oplossing is .... gewoon wegblijven op die kinder sites ...Vreesbook. en Pestbook en schijnvriendenBook. en verder

Oeroeg @onkeltje • 7 april 2012 11:17

En als ge u dan een nieuw apparaat aanschaft hoe doen we dat dan.
Is maar een vraag hoor ik ben niet zo slim.

Dan log je opnieuw in zodat je een nieuwe token krijgt.

Brainiacs 6 april 2012 20:24

Vind het een slechte zaak. Ik vraag me af waarom ze de tokens in het bestand niet koppelen aan het device. Zodat het alleen op het apparaat werkt waar het bestand op is aangemaakt.

Nog slechter is natuurlijk dat Facebook er momenteel nog niks aan wilt doen. Terwijl het heel gewoon is dat mensen ergens hun telefoon opladen.

me_mrtn @Brainiacs • 6 april 2012 20:45

Er mag in de nieuwe guidelines niet meer gebruik worden gemaakt van de UDID, de unieke identifier van elk iDevice. Zie: nieuws: 'Apple blokkeert apps die apparaat-id opvragen'. Niets mis mee, Facebook moet het gewoon versleuteld opslaan zoals gezegd en/of nieuwe apparaten identificeren net zoals op de desktop al gebeurd.

IMarks @me_mrtn • 6 april 2012 21:33

op android mag het nog altijd wel zover ik weet, dus daar heb je dan in ieder geval wel een goeie, makkelijke en sterke oplossing.

mokkol 6 april 2012 21:10

Dit is toch altijd zo het gevel? In de browser wereld wordt een auth token toch ook altijd gewoon in een cookie opgeslagen? Whats the difference? Hoe wil je anders mensen automatisch laten inloggen.

[Reactie gewijzigd door mokkol op 25 juli 2024 09:55]

Soldaatje @mokkol • 6 april 2012 21:30

Ja, en dat zou dus niet mogelijk moeten zijn, probeer maar eens een cookie van de een in de andere browser te zetten. De server checkt de browser en blokkeert de sessie als die anders is.

[Reactie gewijzigd door Soldaatje op 25 juli 2024 09:55]

kmf @Soldaatje • 6 april 2012 22:25

Als je de authtokens, sessionid, whatever in de cookies gewoon met een cookie editor in een andere cookie zet, dan ben je ook gewoon ingelogd hoor.

Je kan als site nog wat extra dingen gebruiken om te verfieren. Broser user agent, ip-adres, whatever. Maar uiteindelijk, als al die dingen kloppen, dan kom je er door.

Martindo 6 april 2012 20:47

... FB van me iTouch gegooid. Ik zie geen logische reden waarom Facebook de beveiligingslek niet zouden dichten. Erg onprofessionele actie vind ik het.

Dancing_Animal @Martindo • 7 april 2012 20:16

Je bedoelt iPod touch.

Poekie McPurrr 6 april 2012 20:52

Heb het vermoeden dat de afdeling marketing een stokje heeft gestoken voor extra beveiliging.. de klant moet immers zonder extra handeling meteen ingelogd zijn, want stel je voor dat ze gebruikers verliezen die het invoeren van een code teveel gedoe vinden >.<

Verwijderd 6 april 2012 21:22

een verborgen desktopcomputer....
Ik ga even het huis nakijken, wellicht vindt ik er eentje.

Maar dat is gewoon een cookie probleem? Niets bijzonders?

Laguna 6 april 2012 22:17

De Facebook app is sowieso al lange tijd brak, namelijk erg traag en het activeert de GPS om de haverklap ook al is de app al afgesloten. Er wordt tevens steen en been geklaagd door de gebruikers bij de reviews van de Facebook app.

Uit pure wanhoop is er zelfs nu een app ontwikkeld genaamd Fast Facebook.

Daar komt nu dit nog bovenop, werkelijk waar onvoorstelbaar. Enige wat Facebook momenteel lijkt te interesseren is, hoe ze zoveel mogelijk geld kunnen verdienen over de ruggen van de gebruikers heen.

Het is jammer dat Facebook een soort van luxe positie geniet, vanwege de miljoenen gebruikers en het overstappen naar bijv Google+ alleen werkt als de rest ook volgt.

l1dert 6 april 2012 22:33

Vreemd dat ze dit niet opslaan in de keychain, dat is helemaal niet zoveel werk op iOS. Bij nieuwe iOS devices kan de plist niet uitgelezen worden zonder eerst het wachtwoord op te geven. En als iemand toch de plist heeft dan kun je via de browser in de facebook instellingen de sessie beëindigen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (68)

Sorteer op:

Weergave: