6077 Letture

Android: una app può prendere il controllo di Facebook

Il pacchetto Facebook SDK for Android è uno strumento opensource sviluppato in Java che facilita l'integrazione delle funzionalità del social network all'interno delle applicazioni realizzate per il sistema operativo di Google. Decine e decine di applicazioni Android traggono oggi vantaggio delle librerie del Facebook SDK per interagire con il profilo degli utenti: Foursquare, ad esempio, usa proprio il pacchetto SDK per leggere le informazioni pubblicate sulla bacheca degli iscritti o per pubblicare foto.

Secondo quanto scoperto dallo sviluppatore David Poll, tuttavia, il Facebook SDK for Android conterrebbe una pericolosa vulnerabilità che potrebbe essere utilizzata da qualche applicazione poco rispettosa per guadagnare accesso, in modo non autorizzato, all'account Facebook del proprietario dello smartphone.
Alla radice del problema vi sarebbe il comportamento tenuto dall'SDK di Facebook: esso, infatti, una volta che l'utente avrà installato un'applicazione accordandole i privilegi richiesti, annota in un file di log un URL che contiene il "token" restituito dai server di Facebook (il "token" è una sorta di identificativo che viene utilizzato durante tutte le successive procedure di autenticazione).
Il file di log, spiega Poll, è però accessibile da parte di qualunque applicazione a cui l'utente abbia concesso il diritto di leggere i dati sensibili contenuti nei file di registro. Dal momento che molti utenti Android spesso confermano l'installazione di un'applicazione senza esaminare con cura i privilegi richiesti, non risulterà difficoltoso - per un aggressore - ottenere i diritti necessari per assumere il controllo di un altrui account Facebook.

Poll ha individuato la falla di sicurezza a metà febbraio segnalandola immediatamente ai tecnici di Facebook. La società fondata da Mark Zuckerberg si è subito attivata per risolvere il problema tuttavia la questione sembra ben lungi dall'essere risolta. Molti sviluppatori, infatti, hanno incorporato la versione vulnerabile del pacchetto Facebook SDK for Android nelle loro applicazioni. È quindi indispensabile, a questo punto, che tutti gli sviluppatori aggiornino i loro programmi per Android scaricando ed includendo l'ultima versione del Facebook SDK, esente dal problema. Ciascuna applicazione dovrà essere quindi oggetto di update e di una nuova distribuzione attraverso il servizio Google Play (precedentemente conosciuto col nome di Android Market).


Il suggerimento, caldeggiato anche dai vertici di Facebook, è quello di accertarsi di utilizzare le ultime versioni di tutte le applicazioni concepite per la piattaforma Android.

Android: una app può prendere il controllo di Facebook - IlSoftware.it