研究人员发现了一个最新版的Facebook的SDK中的漏洞，该漏洞会暴露数以百万计的Facebook的用户身份认证令牌。

Facebook对于Android和IOS的SDK提供了使用身份验证登录Facebook，读取和写入到Facebook API等许多简易方式。

Facebook的OAuth认证或说“以Facebook账户”登录的机制，提供了一种无需用户输入用户名或者密码就能在第三方app上直接登录的个性化而安全的方式。Faceook的SDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌，从而实现利用Facebook的API来实现读取，修改或写入用户的Facebook数据的功能。

研究人员发现，Facebook的SDK库直接把令牌以明文格式存储在设备上，任何人都能轻易地获取Android或者IOS的加密令牌，而完全不需要root或者越狱。“在一台IOS设备上，插上USB之后，仅仅需要5秒钟，就可以通过juice jacking攻击获取到访问令牌。”研究人员称。

除此之外，手机上的任何被赋予读取文件系统权限的app都能够远程访问或者偷取用户的Facebook访问令牌。

研究人员称漏洞为“社会登录会话劫持”。该漏洞一旦被利用，便可以让攻击者通过访问令牌和会话劫持的方法来访问受害者的Facebook帐户信息。