Se ha descubierto una vulnerabilidad en las aplicaciones para iOS de Facebook, LinkedIn y Dropbox que permitiría el robo de sesiones por el simple hecho de copiar un archivo de configuración de un dispositivo a otro.
Esto puede ocurrir bajo diversas circunstancias, la más obvia es el robo del dispositivo lo cual comprometería mucho más que el acceso a una cuenta. Pero también puede suceder al conectarlo en un equipo compartido que esté infectado o preparado para copiar la información automáticamente e incluso en una «inofensiva» estación de carga como las que hay en los aeropuertos y algunos lugares públicos.
El problema en iOS fue descubierto por Gareth Wright quien publicó toda la información en su blog luego de comunicarse con Facebook y simplemente recibir como respuesta «We are working to fix it. Thanks for contacting Facebook«.
Días después Facebook publicó en su página de seguridad que la vulnerabilidad sólo estaba presente en los equipos con jailbreak, sin embargo se demostró enseguida que afectaba a todos… por otro lado según comentarios de algunos usuarios lo mismo estaría sucediendo con la aplicación de Facebook para Android.
La misma vulnerabilidad en LinkedIn para iOS fue descubierta por Scoopz, un amigo de Gareth, quien también publicó toda la información en su blog. Y el problema con Dropbox fue detectado por The Next Web, en este caso la versión para Android no es vulnerable.
¿Cómo evitar la copia de esos archivos en iOS?
Cuando estés cargando tu dispositivo en un equipo desconocido o estación de carga, no lo utilices! Es decir, no ingreses tu clave mientras esté conectado.
Cuando un dispositivo iOS bloqueado se conecta en una computadora por primera vez, no se puede acceder a sus archivos hasta que el usuario ingrese la clave de desbloqueo. Sin embargo, si se conecta a una computadora y luego se desbloquea, el sistema podrá acceder a los datos del dispositivo incluso si la clave es cambiada por el usuario.
Lo puedes comprobar fácilmente conectando tu iOS a tu computadora (donde ya lo has usado) podrás acceder sin necesidad de desbloquearlo, aún si cambias la clave. Pero si lo conectas en una nueva PC, no podrás acceder hasta desbloquearlo.
Ver también:
El móvil y Twitter, cuando cambiar la contraseña no es suficiente…
hasta donde me acuerdo los dispositivo con IOS no pueden acceder al sistema incluso un sistema de linux pues tiene un «no acceso» al sistema, la vulnerabilidad aumenta mas cuando tiene jailbreak y el software USB driver ademas la encriptacion de las claves son de muy alto nivel (en teoria)