• Facebook SDK para Android Ocasiona Vulnerabilidades em Contas de Usuários

    Através do desenvolvedor David Poll, foi descoberta que uma vulnerabilidade no Facebook para Android SDK concede acesso privilegiado à aplicativos Android de forma não autorizado, à conta do Facebook. os aplicativos como o foursquare utilizam o SDK como uma maneira conveniente de ler perfis de usuários do Facebook ou postando fotos de seus murais. Geralmente, isso requer permissões adicionais a serem solicitados ao próprio usuário.

    Uma vez que essas permissões sejam concedidas, o aplicativo recebe um token de acesso do servidor do Facebook que, até que seja revogado, permite-lhe executar as ações solicitadas. A pesquisa realizada sobre essas ocorrências, descobriu que, com as permissões necessárias no local, o Facebook SDK escreve uma URL que contém o token para um arquivo de log no smartphone - e este arquivo é acessível por qualquer aplicativo que tenha recebido permissão para "ler dados de registro sensíveis" durante a instalação.


    Facebook Enfrenta Problemas com Versão Vulnerável do SDK para Android


    Como muitos usuários Android automaticamente confirmam as solicitações de permissão ao instalar apps, não deve ser difícil para os atacantes conseguirem o acesso necessário. Utilizando o token de acesso roubado, um aplicativo criado para esta finalidade maliciosa poderia, então, obter quaisquer permissões que foram concedidas ao aplicativo legítimo do token.

    Nesse cenário de vulnerabilidades, o desenvolvedor descobriu a falha em meados de fevereiro e em seguida, a equipe do Facebook foi notificada. A empresa respondeu prontamente, e eliminou a linha de código responsável pela saída do arquivo de log do SDK. No entanto, isso não significa que o problema tenha sido resolvido, pelo fato de desenvolvedores de aplicativos terem incorporado a versão vulnerável do SDK do Facebook em seus aplicativos.


    Saiba Mais:

    [1] Facebook SDK Vunerability http://www.h-online.com/security/new...e-1519859.html
    [2] Security in Hole Facebook's SDK Android http://blog.parse.com/2012/04/10/dis...s-android-sdk/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L