本周早些时候,Gareth Wright发现iOS版脸谱网FB应用包含严重的安全漏洞,黑客可以利用该漏洞通过.plist文件获得登陆证书。获得该证书后,用户可以在其他设备上使用,并登陆该用户的脸谱网账户。该漏洞同样也存在于Android系统中。
Wright在使用iExplorer浏览iPhone上的文件时首先发现的该问题,他发现脸谱网FB的.plist文件包含所有的oAuth密匙。将此plist文件转移到另一台设备上,就可以访问相同的脸谱网账户了。
随后脸谱网发表声明,称该问题只会影响到已经越狱的iOS设备,因为需要安装特殊的应用才可以查看iOS的文件系统。此外,The Next Web确认iOS版Dropbox应用也有相同的问题,用户可以简单的将plist文件作为登陆账户的证书。两款如此高调的iOS应用都包含着严重的安全问题,让我们不得不开始担心起来。
