Las últimas semanas están siendo bastante revueltas a nivel de seguridad en varias aplicaciones para nuestros dispositivos iOS, entre los problemas más sonados tuvimos el de Path y la subida de nuestra libreta de direcciones a sus servidores. Hoy, hemos conocido cómo aplicaciones tan populares como Dropbox y Facebook pueden estar poniendo en peligro la información privada que guardamos en nuestros dipositivos.
Hace unos días surgía una información sobre posibles problemas de la aplicación nativa de Facebook en iOS, la cual podía tener una vulneración de la seguridad ya que podía permiter a usuarios con malas intenciones obtener acceso a nuestra cuenta a través de un archivo asociado con la app bajo la extensión .plist. Obteniendo una copia de ese fichero podríamos logarnos automáticamente dentro de la cuenta de un usuario desde cualquier dispositivo. Además, este fallo también ha sido reconocido en usuarios Android.
La forma en la que fué descubierto este fallo en la seguridad de la app fué a través de la navegación de un iPhone usando iExplorer. Analizando el archivo .plist se confirmó que contenía la completa información de acceso a la cuenta en un archivo de texto plano, por lo que copiando este fichero en otro dispositivo, nuestra cuenta de Facebook podría ser abierta sin problemas.
A raíz de esta información, Facebook lanzó un mensaje en el que confirmaba que sólo dispositivos perdidos o con Jailbreak realizado podrían tener estos problemas de seguridad, ya que se requiere acceso físico al teléfono, aunque se ha confirmado que esto no es del todo cierto, ya que simplemente conectando el dispositivo a un ordenador comprometido puede ser suficiente para acceder a la data.
Por si esto no fuese poco, también se ha confirmado que el mismo problema está afectando a la app de Dropbox para iOS, dando un acceso similiar con una simple copia del archivo con extensión .plist. Lo que nos lleva a pensar, que si estas dos aplicaciones tan populares tienen esta serie de problemas, tiene toda la pinta que otros servicios o aplicaciones pueden estar teniendo el mismo problema.
Finalmente, no hay evidencias que este método para conseguir los credenciales de los usuarios esté siendo usado actívamente y de una forma maliciosa, por lo que los usuarios tenemos que tener cuidado de no conectar nuestros dispositivos a ordenadores públicos o incluso estaciones de recarga.