Kritische Lücken in Apps von Facebook & Dropbox

Der Sicherheitsexperte Gareth Wright berichtet auf seinem Blog über eine kritische Schwachstelle in der offiziellen Facebook-iOS-App. Die zugehörigen Passwörter werden auf Apple-Geräten unverschlüsselt in einer Textdatei abgelegt.

Sollte man in den Besitz einer fremden Passwortdatei kommen und diese auf ein anderes iOS-Gerät kopieren, so erhält man Zugriff auf das jeweilige Facebook-Konto. Dies hat der Sicherheitsexperte Gareth Wright auf seinem Blog umfassend beschrieben und im Vorfeld getestet.

Die Entwickler von Facebook hat er bereits auf diese Problematik aufmerksam gemacht. Angeblich wird bereits an einer Lösung dieses Problems gearbeitet. Wann eine neue Ausführung der Facebook-App erscheinen wird, ist gegenwärtig noch unklar. Ungewiss ist darüber hinaus, wie die Facebook-Entwickler die Problematik genau aus der Welt schaffen wollen.

Aktuellen Meldungen zufolge soll davon auch die Android-Version der Facebook-App betroffen sein. Dies hat Gareth Wright allerdings noch nicht näher getestet. Besorgten iOS-Nutzern empfiehlt der Experte, einen Passcode und nicht die vierstellig Zahlenfolge zu verwenden. Grundsätzlich könnte man auch mit einer entsprechend angepassten App die Passwortdatei auslesen und an Dritte versenden.


Die Autoren von 'The Next Web' haben nach dem Bekanntwerden dieser Problematik einen genauen Blick auf die offizielle Dropbox-App geworfen und festgestellt, dass diese ein ähnliches Verfahren im Hinblick auf die Passwortdatei zeigt.

Hierbei war es möglich, die Passwortdatei ohne größere Umstände auf ein anderes Gerät zu kopieren. Unterstrichen wird in dem veröffentlichten Artikel, dass dies nicht über Rechner von Dritten möglich ist, wenn ein Passcode gesetzt wurde. Die Entwickler von Dropbox arbeiten bereits an einer Lösung für dieses Problem. Darüber hinaus teilten sie mit, dass die Android-App nicht betroffen ist.
Mehr zum Thema: Facebook
Diese Nachricht empfehlen
Videos zum Thema
 
"...Ungewiss ist darüber hinaus, wie die Facebook-Entwickler die Problematik genau aus der Welt schaffen wollen..." Einfach den Hashwert des Passwortes abspeichern und nicht das Passwort an sich und die Datei an sich verschlüsseln?
 
@klein-m: Es gibt sicherlich bereits eine Lösung, aber diese öffentlich zu nennen, wäre nicht die schlauste Idee. ;) Thema Sicherheit und so! :)
 
@klein-m: Hash abspeichern ist genauso unsicher. Dann kenne ich zwar nicht das Originale Passwort aber das braucht man dann nicht mehr weil man sich dann mit dem Hash auch anmelden kann.
 
@testacc: War ja auch mehr eine rhetorische Frage... ;-)
 
@klein-m: Nennt sich bei OS X und iOS KeyChain (Password Management System), auf Deutsch Schlüsselbundverwaltung. Müssten die App-Entwickler auf iOS nur integrieren, wenn sie dies nicht machen, selbst schuld... Auf kosten der User natürlich


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check

Facebook-Bücher auf Amazon

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles