Dans la suite des problèmes de confidentialité sur Idevice, le développeur Gareth Wright a fait une nouvelle découverte.
En fouillant les fichiers ressources de l’application Facebook [4.1.1 – Français – Gratuit – iPhone/iPad – Facebook, Inc.] pour iOS, il est tombé sur un fichier .plist contenant en clair ses données de connexion.
En copiant ce fichier sur un autre terminal, il a pu se connecter à son compte Facebook sans aucune manipulation supplémentaire. De plus, toutes les applications installées sur le second appareil qui utilisent Facebook (jeux, photo…) ont pu elles aussi profiter de l’identification.
Le réseau social de Mark Zuckerberg a répondu au début de polémique en disant que seuls les appareils jailbreakés étaient concernés, ce que Wright réfute. Pour lui, jailbreaké ou pas, les terminaux mobiles (Android serait aussi affecté) sont tous concernés au même niveau. Une affirmation confirmée par la rédaction de The Next Web qui a effectué un test se concluant par le même résultat que Wright.
De plus, l’application iOS Dropbox [1.4.6 – Français – Gratuit – iPhone/iPad – Dropbox] présente la même lacune. En copiant le fichier .plist de Dropbox d’un terminal à un autre, The Next Web a pu se connecter sans mot de passe sur le deuxième appareil.
Une faille à relativiser cependant — même s’il s’agit bien d’une carence : un accès physique au terminal est nécessaire pour récupérer ces fameux fichiers .plist. Mais on attend tout de même une correction de la part de Facebook et Dropbox !
Laisser un commentaire