更新时间:2021-10-21 00:27:59
1、 最近,在脸书的iOS和安卓应用中发现的一个安全漏洞在Dropbox的iOS应用中被发现。此漏洞允许任何人使用您的移动电话进行物理访问来复制您的登录凭据,因为结果是两家公司的登录信息都存储在未加密的文本文件中。
2、 是的,伙计们,在2012年,一些主要的开发人员仍然忽略了简单的登录安全性。这个消息比使用Path窃取通讯录数据之类的应用更让我震惊,因为它表明,即使是大公司——我们相信我们的个人数据在不断增加——在安全基础方面可能仍然存在问题。
3、 该漏洞最早是由安全研究员加雷思赖特(Gareth Wright)发现的,这导致了脸书的快速反应,他声称该漏洞只会影响越狱的设备(或被黑客盯上的设备)。然而,Next Web今天早上通过自己的测试发现,非越狱设备也受到影响,当将设备插入公共计算机时,可能会利用此漏洞。
4、 “它的长期和短期都很常见,非越狱设备很容易受到攻击,因为这是脸书存储方式的一个缺陷。包含你的信息的文件,”下一个网站的马修潘扎里诺写道。该网站还报道称,Dropbox的iOS应用(但不是其安卓应用)也存在类似的安全漏洞。
5、 正如赖特所说,任何人都可以猜到为什么脸书没有使用iOS钥匙串或其他加密方法来正确管理其登录凭据。脸书和Dropbox都意识到了这个问题,并且正在更新他们的应用程序。
6、 Lookout Mobile Security的首席工程师蒂姆怀亚特(Tim Wyatt)在一封电子邮件中告诉VentureBeat:“这很难推测,但我们确实知道,在物理上暴露给攻击者的设备上完全保护应用程序数据是极具挑战性的。”“最佳做法是使用Android的AccountManager或iPhone Keychain等API,以确保敏感数据(如访问令牌或其他用户凭据)以最安全的方式集中存储。”