Tras las últimas noticias sobre el supuesto robo de información de las agendas de contactos de los smartphones, se descubre un nuevo fallo de seguridad, esta vez algo más grave. Se trata del almacenamiento de usuarios y claves de acceso de Facebook en archivos a los que pueden acceder terceros. En concreto, sería un problema de la aplicación oficial de Facebook para Android y para iPhone, que guardan toda esta información. Unos datos que se mantiene en memoria durante 2.000 años, sin estar programados para su eliminación a corto plazo.
Este fallo de seguridad ha sido descubierto por un desarrollador de juegos y aplicaciones británico llamado Gareth Wright quien, además, ha publicado en su blog personal, de forma detallada, cómo dio con este fallo. Según cuenta, utilizando la herramienta iexplorer para acceder a los archivos de su smartphone, se encontró con uno donde se almacenaban los datos de cuenta de usuario de Facebook, un archivo que los más entendidos conocen como plist.
Con esta información, una persona con los conocimientos necesarios es capaz de cambiar los datos de la plist robada por la suya propia. De esta manera, tendrá completo acceso a la cuenta de Facebook robada. Aunque esto no es lo más grave, ya que hay multitud de aplicaciones y servicios a los que se puede acceder con esta información, asociando la cuenta de la red social a dicha aplicación para no tener que rellenar las engorrosas cuentas de usuario de cada programa.
Para confirmar todo esto, según cuenta Wright en su blog, decidió enviar su plist a un amigo. Al cabo de poco tiempo comprobó que en el muro de su Facebook aparecían nuevas publicaciones que él no había hecho. Y no sólo eso. Este amigo también confirmó que era posible utilizar los datos de cuenta para acceder al famoso juego Draw Something, desde donde envió varios dibujos e imágenes a los amigos del desarrollador. Además, parece ser que tras restaurar el archivo plist original de su amigo, aún recibía notificaciones de las aplicaciones a las que había accedido usurpando la identidad del dueño de la cuenta.
El desarrollador comenta además que ha experimentado varias cuestiones para captar plist y conocer hasta qué punto se puede extender este fallo de seguridad. En una sola semana ha conseguido más de mil plist vulnerables. Todo ello con sólo conectar por puertos USB los teléfonos a ordenadores públicos que contienen un pequeño programa para copiar estos archivos en un par de segundos.
La gente de Facebook ya ha sido alertada, y según palabras del descubridor de este fallo, están trabajando en solucionar este problema. Por tanto, es más que probable que en las próximas horas se lancen sendas actualizaciones de la aplicación de Facebook con el fin de tapar este agujero en Android y iPhone. Mientras tanto, haciéndonos eco de las recomendaciones de Gareth Wright, es recomendable no conectar nuestros smartphones mediante el cable USB a ordenadores públicos a los que otras personas pueden tener acceso.
