Confidentialité : des fichiers .plist trop bavards chez Facebook et Dropbox

Stéphane Moussie |

Dans la litanie des problèmes de confidentialité sur smartphone, le développeur Gareth Wright a fait une nouvelle découverte.

En fouillant les fichiers ressources de l'application Facebook [4.1.1 – Français – Gratuit – iPhone/iPad – Facebook, Inc.] pour iOS — avec un logiciel tel qu'iExplorer — il est tombé sur un fichier .plist contenant en clair ses données de connexion. En copiant ce fichier sur un autre terminal, il a pu se connecter à son compte Facebook sans autre manipulation supplémentaire. De plus, toutes les applications installées sur le second appareil qui utilisent Facebook connect ont pu elles aussi profiter de l'identification.

Le réseau social de Mark Zuckerberg a répondu au début de polémique en disant que seuls les appareils jailbreakés étaient concernés, ce que Wright réfute. Pour lui, jailbreakés ou pas, les terminaux mobiles (Android serait aussi affecté) sont tous concernés au même niveau. Une affirmation confirmée par la rédaction de The Next Web qui a effectué un test se concluant par le même résultat que Wright.

De plus, l'application iOS Dropbox [1.4.6 – Français – Gratuit – iPhone/iPad – Dropbox] présente la même lacune. En copiant le fichier .plist de Dropbox d'un terminal à un autre, The Next Web a pu se connecter sans mot de passe sur le deuxième appareil. Nous avons également fait l'expérience de notre côté — avec un iPhone 4 et un iPhone 4S non jailbreakés — et cela fonctionne sans soucis.

Une faille à relativiser cependant — même s'il s'agit bien d'une carence : un accès physique au terminal est nécessaire pour récupérer ces fameux fichiers .plist. Mais on attend tout de même une correction de la part de Facebook et Dropbox.

Tags
#Facebook #Dropbox #confidentialité
avatar boccob | 
Ca n'a strictement aucun rapport ... lis plus bas ... Il y a un moment ou il faut privilégier, soit le confort, soit la sécurité. En gros, soit tu te re authentifie à CHAQUE transaction réseau, soit tu stocke une clef pour t'authentifier (quelque soit le nom que tu donne à cette clef, plist,cookie, token, etc ...). La seule question est de savoir si l'accés a cette clef au possible pour quelqu'un qui n'a PAS accés au téléphone. Si c'est oui, alors c'est le téléphone qu'il faut sécuriser, si c'est non .. .alors aucun soucis. Pour info, c'est EXACTEMENT le cas sur ORDI (Windows/Mac/Linux) et sur Android ....
avatar drkiriko | 
@Francis Kuntz : 'Des boites qui ont des centaines de millions de $ en banque qui ont des ingénieurs aussi mauvais ...' +1 Alors soit tu tapes à chaque fois ton mot de passe, soit tu le sauvegardes dans un fichier : - solution 1 : le mettre en clair (Sony, Lacie....) - solution 2 : le crypter avec un code unique (Facebook...) - solution 3 : le crypter avec un identifiant unique si possible physique (Mac adresse, UID...), mais là, c'est super extra méga compliqué !
avatar gilzecat | 
@iduplo : sauf si ton pote a mis un mot de passe pour l'accès à l'iPhone. Tu peux alors contourner le problème en copiant le fichier plist.
avatar boccob | 
Et tu le pique comment le Plist si t'a pas accés à l'iphone .... et si t'as accés a l'iphone, tu t'en fou du plist ... bref ... on tourne en rond.
avatar lgda | 
@elamapi : 'Et tu le pique comment le Plist si t'a pas accés à l'iphone .... et si t'as accés a l'iphone, tu t'en fou du plist ... bref ... on tourne en rond.' On peut avoir accès à un iPhone verouillé pendant quelque minutes (un collègue parti aux WC en laissant trainer son iPhone verouillé sur son bureau) et copier les .plist voulus via un utilitaire comme iExplorer en toute discrétion, ni vu ni connu. L'iPhone était verouillé et son propriétaire ne s'est aperçu de rien.
avatar drkiriko | 
@iduplo : 'Moi aussi j'ai decouvert une faille! Quand je prend l'iphone d'un pote je peux acceder a son facebook. J'ai meme pas besoin de copier un fichier plist dans mon iphone ;)' Non, rien à voir, tu sais aussitôt que l'on a pris ton portable et tu changes tes mots de passe. Cette faille permet d'espionner quelqu'un sans qu'il le sache et donc il est difficile de s'en prémunir, sauf à changer le code régulièrement.
avatar boccob | 
Ben, le soucis, c'est surtout que c'est pratiquement impossible à corriger. Un cookie est necessaire pour ne pas avoir a se re-authentifier a chaque fois. Donc, SAUF à entrer log/pass systématiquement, une personne qui a accés à ce cookie pourra systématiquement l'utiliser. La seule question est de savoir s'il y a moyen de piquer ce fichier sans avoir accés au terminal. apparement non, donc pas de soucis. Car de tout façon, si on a accés au terminal on a plus besoin du plist ... vu qu'on a déjà accés a tout le reste ... En gros un peu comme si j'explique qu'il y a une faille dans ma porte blindé ... alors que j'ai laissé la fenetre ouverte ...
avatar cocolère | 
@elamapi : 'La seule question est de savoir s'il y a moyen de piquer ce fichier sans avoir accés au terminal. apparement non, donc pas de soucis.' Ne serai- ce pas accessible à partir de la sauvegarde iTunes de l'iPhone ?
avatar boccob | 
Faut que je teste chez moi, c'est pour ça que je dis que ce n'est pas une question de savoir coder ou pas, mais de chaine globale de sécurité. Le maillon faible ici, ce n'est pas FB ou Dropbox mais iOS s'il laisse l'accés à ces donnée sans avoir accés à la machine. Soit dit en passant, même si c'est dans un backup itunes, faut encore avoir accés au backup en question. donc le vilain pirate a accés a ton mac ou ton PC, et la encore ... il aura accés a tout ...
avatar SwissMade | 
De tout de façon, quand on perd un appareil comme l'iPhone. La première chose à faire est de changer tous ses mots de passe.
avatar Oswald | 
C'est parfaitement corrigable et rapidement en plus. Il suffit juste d'associer un cookies à un identifiant unique sur l'iphone (pas l'udid puisqu'on a plus le droit, mais openudid peut servir) et invalider le plist dans le cas ou l'identifiant de l'iphone serait différent. Simple comme bonjour !
avatar boccob | 
Et con comme la lune ... tu te doutes bien que si le mec arrive a piquer le plist ... il va piquer l'uid avec ... Franchement ...
avatar drkiriko | 
@elamapi : 'Et con comme la lune ... tu te doutes bien que si le mec arrive a piquer le plist ... il va piquer l'uid avec ... Franchement ...' Bin oui, mais tu n'es pas obliger de dire comment tu l'utilises, ni la combinaison pour générer le cryptage (modèle de smartphone + nom utilisateur + numéro de Tél + UID, etc...)
avatar le_hobbit | 
Grande news : si on te pique ton iPhone, on a accès à tes données personnelles !
avatar boccob | 
iFile = JailBreak .. on en revient toujours au même. Si d'une façon ou d'une autre tu laisse accés au contenu de ton iphone, ben on a accés a tes donné .... J'ai l'impression d'etre dans la 4eme dimension en disant ça ... Ca me parait tellement logique que je ne comprend même pas qu'il y a une news ...
avatar boccob | 
Concernant Dropbox et FB, c'est bien un token et pas tes log/pass qui sont stocké. De ce que j'ai pu tester, c'est pareil pour box.net, hubic, gmail, que ce soir sur iphone ou android. En fait ... c'est même pareil sur Mon mac et mon PC. j'ai déjà fait l'experience. Bref ... c'est clairement pas un nouveauté ....
avatar napuconcture | 
Une utilisation simple serait d'avoir un capteur biométrique et qu'il soit sollicité pour les accès à des trousseaux sécurisés. Les mécanismes de déblocage des jeton d’authentifications aux services tiers devraient être gérés par l'OS et pas par les applicatifs. Les clés de déblocages de ces jetons devraient être liée à l'IMEI. Une restauration de sauvegarde sur un autre téléphone devrait invalider tous les jetons d’authentifications.
avatar Steve Gosselin | 
Pour preuve, si on télécharge le SDK Facebook pour iOS, dans leur projet d'exemple ils stockent le token de la session en clair dans le userDefaults (préférences de l'application).. Donc évidemment, tous les mauvais développeurs vont tout bonnement copier le principe et voilà comment répandre de la merde.. Pourtant il existe un truc tout con: le trousseau d'accès. Même sur iOS.
avatar Steve Gosselin | 
Et non, pas besoin d'avoir un iPhone jailbreaké. Je vois toutes les applications tierces et leurs fichiers annexes (prefs, caches, etc..) avec iExplorer

CONNEXION UTILISATEUR