De Facebook-apps voor iOS en Android slaan tokens om automatisch in te loggen in plain text op. Daardoor kunnen kwaadwillenden door het kopiëren van een bestand toegang krijgen tot iemands Facebook-account zonder wachtwoord.

Het bewuste bestand .com.facebook.Facebook.plist, zou gekopieerd kunnen worden via een verborgen desktopcomputer of via publieke laadpunten, schrijft de ontdekker van het lek, Gareth Wright. Het vereist geen jailbreak of root-toegang om toegang tot het bestand te krijgen. In het bestand staan tokens, waardoor de applicatie weet op welk account het ingelogd is.

Door het bestand te kopiëren en de Facebook-app te openen, krijgt een gebruiker toegang tot het account van degene onder wiens account het bestand is aangemaakt. Er is geen bescherming tegen: het .plist-bestand kan op elk willekeurig apparaat worden gezet en worden uitgewisseld tussen iPhones en Android.

Alles bij de bron; tweakers