Dans la litanie des problèmes de confidentialité sur smartphone, le développeur Gareth Wright a fait une nouvelle découverte.
En fouillant les fichiers ressources de l'application Facebook [4.1.1 – Français – Gratuit – iPhone/iPad – Facebook, Inc.] pour iOS — avec un logiciel tel qu'iExplorer — il est tombé sur un fichier .plist contenant en clair ses données de connexion. En copiant ce fichier sur un autre terminal, il a pu se connecter à son compte Facebook sans autre manipulation supplémentaire. De plus, toutes les applications installées sur le second appareil qui utilisent Facebook connect ont pu elles aussi profiter de l'identification.
Le réseau social de Mark Zuckerberg a répondu au début de polémique en disant que seuls les appareils jailbreakés étaient concernés, ce que Wright réfute. Pour lui, jailbreakés ou pas, les terminaux mobiles (Android serait aussi affecté) sont tous concernés au même niveau. Une affirmation confirmée par la rédaction de The Next Web qui a effectué un test se concluant par le même résultat que Wright.
De plus, l'application iOS Dropbox [1.4.6 – Français – Gratuit – iPhone/iPad – Dropbox] présente la même lacune. En copiant le fichier .plist de Dropbox d'un terminal à un autre, The Next Web a pu se connecter sans mot de passe sur le deuxième appareil. Nous avons également fait l'expérience de notre côté — avec un iPhone 4 et un iPhone 4S non jailbreakés — et cela fonctionne sans soucis.
Une faille à relativiser cependant — même s'il s'agit bien d'une carence : un accès physique au terminal est nécessaire pour récupérer ces fameux fichiers .plist. Mais on attend tout de même une correction de la part de Facebook et Dropbox.
Le réseau social de Mark Zuckerberg a répondu au début de polémique en disant que seuls les appareils jailbreakés étaient concernés, ce que Wright réfute. Pour lui, jailbreakés ou pas, les terminaux mobiles (Android serait aussi affecté) sont tous concernés au même niveau. Une affirmation confirmée par la rédaction de The Next Web qui a effectué un test se concluant par le même résultat que Wright.
De plus, l'application iOS Dropbox [1.4.6 – Français – Gratuit – iPhone/iPad – Dropbox] présente la même lacune. En copiant le fichier .plist de Dropbox d'un terminal à un autre, The Next Web a pu se connecter sans mot de passe sur le deuxième appareil. Nous avons également fait l'expérience de notre côté — avec un iPhone 4 et un iPhone 4S non jailbreakés — et cela fonctionne sans soucis.
Une faille à relativiser cependant — même s'il s'agit bien d'une carence : un accès physique au terminal est nécessaire pour récupérer ces fameux fichiers .plist. Mais on attend tout de même une correction de la part de Facebook et Dropbox.
