来自MetaIntell智能手机领导风险管理(MRM)的安全研究人员，发现了一个最新版的Facebook的SDK中的漏洞，该漏洞会暴露数以百万计的Facebook的用户的身份认证令牌，听起来还是很吓人的。

 

Facebook的对于Android和IOS的SDK提供了使用身份验证登录Facebook，读取和写入到Facebook API等许多简易方式。

Facebook的OAuth认证或说“以Facebook账户”登录的机制，提供了一种无需用户输入用户名或者密码就能在第三方app上直接登录的个性化而安全的方式。Faceook的SDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌，从而实现利用Facebook的API来实现读取，修改或写入用户的Facebook数据的功能。

　　访问未加密的访问令牌

用户的私人的秘密访问令牌本应当永远不会与任何人共享。但令人惊奇的是，研究人员发现，Facebook的SDK库直接把令牌以明文格式存储在设备上，任何人都能轻易地获取Android或者IOS的加密令牌，而完全不需要root或者越狱，我和我的小伙伴都惊呆了!

“在一台IOS设备上，插上USB之后，仅仅需要5秒钟，就可以通过juice jacking 攻击获取到访问令牌。”MetaIntell的首席架构师Chilik Tamir告诉记者。

　　来自其他程序的威胁

他还说，除此之外，我们手机上的任何被赋予读取文件系统权限的app都能够远程访问或者偷取用户的Facebook访问令牌。

研究人员戏称为漏洞“社会登录会话劫持”。该漏洞一旦被利用，便可以让攻击者通过访问令牌和会话劫持的方法来访问受害者的Facebook帐户信息。

　　视频演示

研究人员在youtube上发布了一段视频，该视频展示了研究人员是如何通过IOS版的Viber利用这个漏洞的。(很明显，Viber使用了Facebook的OAuth认证登录方式)

演示视频：http://www.youtube.com/watch?v=1fylUF_YUqk //需要翻墙

Chilik Tamir 说，所有使用Facebook的OAuth认证方式登录的iOS和Android应用程序都非常容易受到这种攻击。

研究人员在blog中写道，“MetaIntell已确定的前100名免费iOS应用程序中，有71个是使用Facebook

SDK的，而这些app的下载量已经达到了12亿，影响范围相当广。而在排名前100位的Android应用程序中，有31个app利用Facebook的SDK，下载次数则超过了1000亿。”

　　Facebook的安全团队的回应

MetaIntell团队已经通知了Facebook的安全团队有关该漏洞的信息，但貌似Facebook没有修复SDK的打算。

收到MetalIntell的漏洞报告之后，Facebook回应到：“我跟进了我们的平台开发团队，看看他们是否会在这方面作出任何变更：-在Android方面，我们已经得出结论，我们不会做任何改变：我们认为安卓系统提供的安全等级是足够高的。-另一方面，我们的IOS团队正在探索以最安全方式将访问令牌存储到通过密钥方可访问的储存位置的可能性。“

　　我们应当怎么应对?

移动应用程序的用户应尽量不要使用移动应用程序中的“通过Facebook登录”选项，同时禁止应用程序使用他们的Facebook登录。

对于应用程序开发人员，我们建议将用户的访问令牌从本地存储转移到有安全加密传输的线上加密存储空间中。

(责任编辑：安博涛)