Egy kaliforniai fejlesztő súlyos sebezhetőséget talált a Facebook Android fejlesztői környezetben. David Poll még februárban találta a biztonsági rést. A Facebook Android-kliensével dolgozva rájött, hogy az appot bizonyos feltételek mellett arra is lehet használni, hogy ellopják a facebookozó személyazonosságát. A probléma ráadásul minden, Android fejlesztői környezetben létrehozott Facebook-alkalmazást érint – áll a Spiegel cikkében.

A fejlesztő, hogy gyanúját beigazolja, megírta a FacebookThief alkalmazást. Ezzel képes volt bármelyik facebookozó nevében bejelentkezni, bármilyen Facebook SDK-alapú (Software Development Kit, szoftverfejlesztői csomag) alkalmazást használva ugyanúgy el tudta lopni az adatokat.

Képes volt például hozzászólásokat írni más felhasználó nevében, és ezt úgy publikálni, mintha az illetőtől érkezett volna az üzenőfalra.

Miután David Poll jelentette a hibát a Facebooknak, a közösségi oldal 24 órán belül reagált. Először is arra kérték a fejlesztőt, hallgasson, amíg a legfontosabb alkalmazások frissítésével elkészülnek. A Facebook ezután értesítette az összes népszerű alkalmazás fejlesztőjét a problémáról. Úgy tűnik, tömeges visszaélés nem volt, ám a ReadWriteWeb két tanulságot is levont a történtekből.

Először is: mindenki legyen tisztában azzal, hogy az adott alkalmazás, amit használ, mihez férhet hozzá. És figyeljen arra, hogy az appokat rendszeresen frissítse.

A Facebook pedig azt tanácsolja a felhasználóinak, hogy távolítsák el a megbízhatatlan alkalmazásokat, és a megbízhatóak legfrissebb verzióját töltsék le. De hogy mi a megbízható, és mi nem, azt a felhasználónak kell eldöntenie.

AP / Paul Sakuma

A Cnet ugyanakkor arról számol be, hogy a facebookos személyiséglopás nem csak az androidos felhasználókat fenyegeti. Az iPhone-tulajdonosok és a Dropbox-felhasználók sincsenek biztonságban.

A Facebook azzal védekezik, hogy csak a jailbreakelt iPhone-ok vannak veszélyben, de két független forrás is arról számol be, hogy minden iPhone-t érint a probléma, nem csak azokat, amiket feltörtek. Gareth Wright brit informatikus és a The Next Web is erre jutott.

Szerintük meg lehet szerezni iOS-en is a Facebook-applikáció belépési kódját és a felhasználónevet. Amikor ugyanis valaki a mobiljával lép be a Facebookra, csak első alkalommal kell bejelentkeznie, a telefon az adatokat egy .plist fájlba menti és onnan olvassa be. Ha pedig valaki egy csaló alkalmazással begyűjti a .plist fájlokat, máris bárkinek a nevében beléphet a Facebookra.

Ugyanez vonatkozik a The Next Web szerint a Dropbox iOS-felhasználóira is. (Az androidos Dropbox-felhasználókat nem érinti, mert esetükben a tokenben az adat titkosítva van.)

A Facebook a világ legnagyobb közösségi oldala, mintegy 800 millió felhasználója van, a webes tárhelynek pedig tavaly év végén 45 millió felhasználója volt.