Le développeur David Poll a découvert qu'une vulnérabilité dans le SDK de Facebook pour Android accorde à certaines applications Android des accès non autorisés au compte Facebook du propriétaire du smartphone.
Des applications comme foursquare par exemple utilisent le SDK comme un moyen simple et commode de lire les profils des utilisateurs de Facebook ou poster des photos sur leurs murs ce qui nécessite généralement des autorisations supplémentaires qui devraient, je pense, être demandées à l'utilisateur.
Une fois ces autorisations accordées, l'application reçoit un jeton d'accès (token) à partir du serveur de Facebook qui, jusqu'à sa révocation, lui permet d'effectuer les actions demandées. Une annonce a révélée que, avec les autorisations requises en place, le SDK de Facebook écrit une URL qui contient le jeton dans un fichier du journal du smartphone. Il faut savoir que ce fichier journal est accessible pour n'importe quelle application qui a la permission de lire les données du journal lors de son installation.
Comme de nombreux utilisateurs d'Android confirment souvent automatiquement les demandes d'autorisation lors de l'installation d'applications, il ne devrait pas être difficile pour un pirate d'obtenir les accès requis. En récupérant ce jeton d'accès dans le journal, une application spécialement conçue pourrait alors obtenir les autorisations qui ont été accordées aux applications légitimes utilisant le jeton.
Le développeur a découvert la vulnérabilité vers la mi-Février et en a avisé Facebook. La société a réagi rapidement et a supprimé la ligne de code qui était responsable de l'écriture dans le fichier journal à partir du SDK. Toutefois, cela ne signifie pas que le problème est résolu car certains développeurs peuvent toujours utiliser l'ancienne version du SDK intégrée à leurs applications. Pour éviter que les applications ne révèlent le jeton d'accès, tous les développeurs doivent donc mettre à jour leurs applications avec la version corrigée du SDK et redéployer leur application sur Google Play.
Une annonce dit que Facebook lui a demandé d'attendre avant de divulguer ce problème jusqu'à ce que les développeurs de Facebook corrigent cette faille. En attendant que les développeurs aient mis à jour leurs applications embarquant le SDK de Facebook, les pirates ont un peu de temps pour tenter d'exploiter cette vulnérabilité.