最近在Facebook的iOS和Android应用程序中发现的一个安全漏洞现已在Dropbox的iOS应用程序中找到。该漏洞允许任何人用您的手机进行物理访问来复制您的登录凭据-因为,得到此,两家公司都存储在未加密的文本文件中的登录信息。

是的,伙计们,2012年,一些主要的开发人员仍然忽略了简单的登录安全性。这个消息比使用Path窃取地址簿数据这样的应用程序更令我震惊,因为它表明即使是大公司 - 我们相信我们的个人数据越来越多 - 仍然可能在安全基础方面遇到麻烦。

这个漏洞最初是由安全研究员Gareth Wright发现的,这导致了Facebook的快速反应,声称这个漏洞只会影响越狱(或有目的地被黑客入侵)的设备。但The Next Web今天上午通过自己的测试发现, 非越狱设备也受到影响, 并且在将设备插入公共计算机时可能会利用该漏洞。

“它的长期和短期是普通的,非越狱的设备容易受到攻击,因为它是Facebook存储包含你的信息的.plist文件的方式的缺陷,”The Next Web的Matthew Panzarino写道。该网站还报告称,Dropbox的iOS应用程序(但不是其Android应用程序)具有类似的安全漏洞。

正如Wright所说,任何人都猜测为什么Facebook没有使用iOS钥匙串或其他加密方法来正确管理其登录凭据。Facebook和Dropbox都知道这个问题并正在更新他们的应用程序。

Lookout Mobile Security的首席工程师Tim Wyatt在一封电子邮件中告诉VentureBeat说:“很难推测,但我们确实知道在物理上暴露给攻击者的设备上完全保护应用程序数据极具挑战性。” “最佳做法是利用Android的AccountManager或iPhone Keychain等API,确保以最安全的方式集中存储敏感数据,如访问令牌或其他用户凭据。”