Uno sviluppatore inglese -Gareth Wright- ha affermato d’aver scoperto una falla significativa all’interno dell’app ufficiale di Facebook per iOS e Android. Chiunque, con l’occasione giusta, potrebbe carpire password, dati personali e farsi un po’ di fatti altrui.
Con un post sul suo blog, Wright racconta di aver scoperto l’estrema leggerezza con cui gli sviluppatori di Facebook hanno affrontato la gestione della privacy sui dispositivi mobili. In luogo della conservazione delle credenziali in un luogo sicuro, infatti, l’app le infila in chiaro -senza crittografia, quindi- all’interno del suo file delle preferenze; un documento .plist che, tra le altre cose, è stato impostato per scadere addirittura nell’anno 4001.
Le conseguenze sono tutt’altro che simpatiche: è sufficiente copiare in qualche modo quel file su di un altro dispositivo iOS, perché anche quest’ultimo riesca tranquillamente ad accedere alla vostra pagina personale del social network blu, nonché a tutti i servizi connessi con essa.
E il problema riguarda un po’ tutti, jailbreaker e non; già, perché per copiare qualche file da un dispositivo iOS non servono mica complicate alchimie software e conoscenze da guru. Ci sono molte utility, come la stessa DiskAid, che consentono di accedere al File System tranquillamente e senza hack, pur se con qualche limitazione.
La buona notizia è che Facebook è a conoscenza della vulnerabilità e ha promesso di risolverla in tempi rapidi. Il dubbio, però, è che esistano altre app che trattino i dati di accesso con la medesima disinvoltura.