El experto en seguridad Wright Gareth identificó un agujero de seguridad en la versión para iOS de la aplicación de Facebook que podría permitir a alguien con malas intenciones robar las credenciales de usuario. Después de un análisis más detallado, la gente de The Next Web determinó que Dropbox también presenta la vulnerabilidad.

Además, se ha descubierto que no sólo las aplicaciones de iOS son vulnerables, sino también aquellas desarrolladas para dispositivos Android.

Mientras navegaba a través de directorios de la aplicación con una herramienta gratuita llamada iExplorer, Wright descubrió que la aplicación de Facebook para dispositivos iOS almacena algunos datos altamente confidenciales en texto claro.

"En el directorio de la aplicación de Facebook descubrí rápidamente un montón de imágenes almacenadas en caché y la com.Facebook.plist. Lo que figuraba dentro fue impactante. No un token de acceso sino una clave oAuth completa e información confidencial en texto sin cifrar", escribió.

Después de analizar sus hallazgos, pudo decir que el archivo .plist, cuando es transfirido a otro dispositivo, puede ser utilizado para acceder a la cuenta de Facebook asociada.

Inicialmente, los representantes de Facebook argumentaron que el vector de ataque sólo funcionaba en teléfonos arraigados, pero resulta que de hecho funciona incluso en dispositivos que no han sido alterados.

Ahora, muchos pueden pensar que esta es una de esas vulnerabilidades donde un atacante necesitaría acceso físico al dispositivo, pero en realidad, es mucho más compleja que eso.

Wright demostró que si una aplicación maliciosa está instalada en un ordenador compartido, una estación de acoplamiento pública o cualquier otro aparato al que se pueden conectar los teléfonos, el archivo se puede recuperar.

Con Dropbox es básicamente la misma situación. El servicio de alojamiento de archivos también utiliza el archivo .plist incorrectamente, permitiendo que cualquier persona que gane acceso a él pueda violar la cuenta del propietario.

Al parecer, Facebook está trabajando en resolver el problema, pero lo preocupante es que si dos aplicaciones populares manejan estos archivos de esta manera, es muy probable que las aplicaciones de otros desarrolladores hagan lo mismo.

Por lo tanto, hasta que se ponga a disposición una solución más permanente, piensa dos veces antes de conectar tu teléfono Android o iOS a un ordenador público o una estación de acoplamiento.