Суть в том, что идентификационные данные пользовательского аккаунта сохраняются в файле с расширением .plist, связанном с Facebook-приложением, в виде простого текста, то есть в незашифрованном виде. Таким образом, скопировав указанный файл, хакер получает доступ к этой информации и может воспользоваться ей, к примеру, для введения в заблуждение друзей жертвы, входя в аккаунт под видом пользователя и общаясь с ними. Кроме того, схожая уязвимость, как сообщается, присутствует и на Android-устройствах.

Файл .plist из Dropbox. Просмотр через iExplorer

При этом Гарет Райт обнаружил данную уязвимость при пользовании программой iExplorer и смог продемонстрировать простоту ее эксплуатации, переместив файл .plist со своего iPhone на другое устройство и уже с него получив доступ к своему аккаунту в Facebook. По словам эксперта, чтобы воспользоваться этой "дырой”, злоумышленник может применить различные решения, как программные, так и аппаратные, причем, для этого мобильное устройство даже не обязательно предварительно терять (для физического доступа хакеров к нему) или модифицировать через джейлбрейк. Помимо прочего, схожая проблема обнаружилась и в iOS-клиенте "облачного” хранилища данных Dropbox.