Египетский специалист в области информационной безопасности Мохаммед Рамадан (Mohamed Ramadan) обнаружил уязвимость в приложении Facebook Camera для iOS. Приложение принимает любой SSL-сертификат, создавая тем самым базу для атаки типа “человек посередине”.

Приложение Facebook camera для iOS
Приложение Facebook camera для iOS

Версии до 1.1.2 (вышедшие ранее 21.12.2012) позволяют получить несанкционированный доступ к некоторым данным на смартфоне при подключении по Wi-Fi.

В частности, злоумышленник может перехватить передаваемые адрес электронной почты и пароль, используемые при авторизации в Facebook. Таким образом, у пользователей iPhone возникает риск утратить контроль над своим аккаунтом в Facebook.

Приложение Facebook camera для iOS позволяет злоумышленнику узнать e-mail и пароль аккаунта жертвы (фото: Mohamed Ramadan)
Приложение Facebook camera для iOS позволяет злоумышленнику узнать e-mail и пароль аккаунта жертвы (фото: Mohamed Ramadan)

Мохаммед Рамадан отмечает, что проанализировал другие приложения Facebook на наличие схожих проблем и не обнаружил их. Для проверки возможности атаки через Facebook Camera он настроил прокси-сервер, через который и отследил передачу данных по Wi-Fi.

В Facebook подтвердили наличие уязвимости, порекомендовав поскорее обновить Facebook Camera и не подключаться к сомнительным Wi-Fi сетям. Также представители компании особо подчеркнули, что им не известно ни об одном случае использования найденной уязвимости в реальных условиях.