Kolla om ditt Facebook-konto är i fara

I februari i år hittade David PollParse en sårbarhet i Facebooks SDK, som gör att obehöriga kan komma åt information i ditt konto när du använder en tredjepartsapplikation för att logga in.

I inloggningsprocessen blir appen tilldelad en så kallad access_token, som ger applikationen tillgång till olika delar av ditt konto. Detta är normalt och så det är tänkt. Problemet är att denna access_token skrivs ut i klartext i telefonens loggfil. Det innebär att andra program, som har tillåtelse att läsa loggfiler, kan ta del av informationen och i förlängningen använda den för att få ut data från ditt Facebook-konto.

Poll skrev en enkel applikation som sniffade reda på en access_token i loggen och som sedan använde denna för att kunna logga in och skriva ett meddelande i hans logg. Eftersom denna token var tilldelad en annan app, såg det ut som om det var den  appen som gjort inlägget!

David Poll kontaktade Facebook som inom en dag rullade ut en uppdaterad SDK. Problemet är bara att den gamla SDK:n är integrerad i tusen och åter tusen appar i hundratusentals telefoner där ute, och appmakarna måste uppgradera sina appar manuellt för att täppa till hålet. Att detta inte kommer ske i brådrasket (om ens alls) är kanske inte direkt årets understatement…

XDA-medlemmen Vvieux har kontrat med att skapa ett litet program som ligger i bakgrunden på telefonen för att kolla av när en access_token exponeras i loggfilen. Du kan på så sätt lista ut vilka appar som använder det gamla riskabla sättet, och undvika att logga in via dem tills de uppdaterats. Appen kräver inte root.

Läs mer på David Polls blogg, och på XDA!

Betyg: ★★★★☆
Ladda ned Facebook SDK Checker!
Kostnad:
Gratis.

Taggar:, , , , ,

Inga kommentarer ännu.

Lämna en kommentar

Switch to our mobile site