Skąd aplikacja Facebook Camera wie, kim jestem po raz pierwszy?

10

Jeśli masz aplikację Facebook na urządzeniu z systemem iOS i pobierasz aplikację Facebook Camera, przy pierwszym uruchomieniu Facebook Camera otrzymasz:

Kontynuuj jako David W.

(lub jakkolwiek się nazywasz)

W iOS wszystkie aplikacje mają przechowywać dokumenty w folderach specyficznych dla aplikacji. Istnieje brelok do przechowywania haseł i innych danych uwierzytelniających, ale znowu jest to specyficzne dla aplikacji. Znalazłem nawet dokumentację wyjaśniającą, że chociaż Safari może pobierać certyfikaty, należy je zaimportować do określonych aplikacji. Chodzi o to, aby piaskowić każdą aplikację, więc problem bezpieczeństwa w jednej aplikacji nie wpływa na bezpieczeństwo całego urządzenia.

Skąd więc aplikacja Facebook Camera wie, kim jestem, jeśli nie może pobrać danych z samej aplikacji Facebook i nie może użyć danych aplikacji Facebook z pęku kluczy?

David W.
źródło

Odpowiedzi:

5

Zostało to omówione przez MG Siegler w Paris Lemon w zeszłym tygodniu, wyjaśnienie, jak to jest tutaj .

Zasadniczo iOS zapewnia własną funkcję pęku kluczy, a jeśli znasz klucz pęku kluczy, możesz zapisywać i odczytywać dane między pisanymi aplikacjami. W tym przypadku aplikacja Aparat Facebook odczytuje dane zapisane przez aplikację Facebook.

Stu Wilson
źródło
1

Jak się okazuje, aplikacje mogą udostępniać sobie dane pęku kluczy.

Jest coś, co nazywa się Brelok na iOS i zapewnia, że ​​nie musisz się logować za każdym razem, gdy otwierasz aplikację FaceBook.
Biorąc pod uwagę fakt, że zarówno aplikacja FaceBook, jak i aplikacja Camera pochodzą od tej samej firmy, mogę sobie wyobrazić, że wymiana zapisanego hasła nie powinna być trudna.

Jeśli chcesz uzyskać bardziej szczegółowe informacje na temat korzystania z pęku kluczy iOS, mogę polecić ten samouczek.

Ale wydaje się, że jest więcej niż na pierwszy rzut oka. Aplikacje mogą nawet uzyskiwać dostęp do niektórych danych telefonu, jak opisano w tym poście . Niektóre interfejsy API zestawu iOS SDK nie są chronione i można uzyskać do nich dostęp bez uwierzytelnienia (np. Nazwa twojego iPhone'a ...).
To wszystko spryt :) Inżynierowie z FaceBook, Twitter, FourSquare ... wydają się być w tym bardzo dobrzy!

Michiel
źródło