Uma vez que essas permissões sejam concedidas, o aplicativo recebe um token de acesso do servidor do Facebook que, até que seja revogado, permite-lhe executar as ações solicitadas. A pesquisa realizada sobre essas ocorrências, descobriu que, com as permissões necessárias no local, o Facebook SDK escreve uma URL que contém o token para um arquivo de log no smartphone - e este arquivo é acessível por qualquer aplicativo que tenha recebido permissão para "ler dados de registro sensíveis" durante a instalação.
Facebook Enfrenta Problemas com Versão Vulnerável do SDK para Android
Como muitos usuários Android automaticamente confirmam as solicitações de permissão ao instalar apps, não deve ser difícil para os atacantes conseguirem o acesso necessário. Utilizando o token de acesso roubado, um aplicativo criado para esta finalidade maliciosa poderia, então, obter quaisquer permissões que foram concedidas ao aplicativo legítimo do token.
Nesse cenário de vulnerabilidades, o desenvolvedor descobriu a falha em meados de fevereiro e em seguida, a equipe do Facebook foi notificada. A empresa respondeu prontamente, e eliminou a linha de código responsável pela saída do arquivo de log do SDK. No entanto, isso não significa que o problema tenha sido resolvido, pelo fato de desenvolvedores de aplicativos terem incorporado a versão vulnerável do SDK do Facebook em seus aplicativos.
Saiba Mais:
[1] Facebook SDK Vunerability http://www.h-online.com/security/new...e-1519859.html
[2] Security in Hole Facebook's SDK Android http://blog.parse.com/2012/04/10/dis...s-android-sdk/