最近在脸书的iOS和Android应用程序中发现的一个安全漏洞现在已经在Dropbox的iOS应用程序中发现。此漏洞允许任何人以物理方式访问您的手机来复制您的登录凭据，因为结果是，两家公司都将登录信息存储在未加密的文本文件中。

是的，伙计们，在2012年，一些主要的开发人员仍然忽略了简单的登录安全性。这个消息比一个使用Path窃取通讯录数据的应用更让我震惊，因为它表明，即使是大公司——我们相信我们的个人数据在不断增加——在安全基础方面可能仍然有问题。

这个漏洞最早是由安全研究员加雷思赖特发现的，这导致了脸书的快速反应，声称这个漏洞只会影响越狱(或有目的的黑客)设备。然而，Next Web今天早上通过自己的测试发现，非越狱设备也受到了影响，当设备插入公共计算机时，该漏洞可能会被利用。

“它的长期和短期都很常见，非越狱设备很容易受到攻击，因为这是脸书存储方式的一个缺陷。包含你的信息的文件，”下一个网站的马修潘扎里诺写道。该网站还报道称，Dropbox的iOS应用程序(但不是其安卓应用程序)也存在类似的安全漏洞。

正如赖特所说，任何人都猜到为什么脸书没有使用iOS钥匙串或其他加密方法来正确管理其登录凭据。和脸书Dropbox意识到了这个问题，正在更新他们的应用程序。

Lookout Mobile Security的首席工程师蒂姆怀亚特(Tim Wyatt)在一封电子邮件中告诉VentureBeat:“这很难猜测，但我们确实知道，在物理上暴露给攻击者的设备上完全保护应用程序数据是极具挑战性的。”“最佳做法是，通过使用Android的AccountManager或iPhone Keychain的API，确保敏感数据(如访问令牌或其他用户凭据)以最安全的方式集中存储。”

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：