新闻链接：http://thehackernews.com/2014/07/facebook-sdk-vulnerability-puts.html
  新闻时间：2014年7月3号
  新闻正文：Facebook SDK Vulnerability Puts Millions of Smartphone Users' Accounts at Risk

  MetaIntelligence的安全研究人员， 发现了一个在Facebook最新版本的SDK中的一个重大漏洞，这个漏洞将数百万的Facebook用户验证令牌置于在危险之中。
  在Android与iOS中，Facebook SDK是整合Facebook平台与移动应用最为简单的方法。 其包含了对于Facebook验证登陆与Facebook API读写的众多功能的支持。
  Facebook OAuth验证（或者“Login as Facebook”机制）是一种无需用户提供密码就能在第三方app上登陆的个人化安全机制。在用户许可了应用的权限请求之后， Facebook SDK通过实现OAuth 2.0中用户代理流程来获取应用所需的用户私密访问令牌，从而达到调用Facebook API以及读、写、修改用户数据的行为。

访问非加密的访问令牌
  用户的私密token无法被任何其他人访问是手机安全非常重要的一环，但研究人员发现Facebook的SDk库将其以非加密的方式存储在设备的文件系统中，导致即使在没有被root的设备上也能被访问到。
  MetaiIntel的首席架构师Chilik Tamir声称“在一台iOS设备上，只需要5秒钟的USB连接，就能通过juice jacking attack获得访问令牌， 在android的文件系统中，需要在recovery mode下才能得到，并且需要一些技巧与时间”

来自其他应用的威胁
  更重要的是，任何有访问文件权限的第三方app都有能力访问这个文件并远程获得用户的Facebook访问令牌。
研究人员将这个漏洞称为“Social Loggin Session Hijacking”。 一旦被利用，将使得攻击者通过获得token与会话劫持的方式来获得受害人的Facebook账户信息。

Demo视频：http://www.youtube.com/watch?v=1fylUF_YUqk （是在youtube上的，翻墙看吧。。）

来自Facebook安全团队的回应：
  MetaIntell团队已经向Facebook安全团队通报了这一个漏洞，但Facebook似乎并没有升级修复SDK漏洞的心情。

该如何做？
移动应用用户被建议不要使用移动app中的'Facebook Login'选项，并且禁止应用使用他们的Facebook登陆。应用开发人员被建议将用户的访问token从设备的文件系统转移到有加密渠道的线上存储当中。

（新人第一次做翻译，有错误欢迎指出）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课