Facebook-Sicherheitslücke: OAuth-Speicherung im Klartext

Facebook, Social Network, Mark Zuckerberg Bildquelle: Facebook
Sind Apps, die Facebooks OAuth-Legitimierung nutzen, potentiell ein Einfallstor für Hacker? Das zumindest legt ein Bericht von The Hacker News nahe. Demnach ist eine Sicherheitslücke in dem Facebook SDK dafür verantwortlich, das die Logindaten im Klartext gespeichert werden.
Gefährdet sind demnach Android- und iOS-Apps, die den Facebook-Login nutzen. Damit müssen potentielle Angreifer nur noch die Daten auslesen, um sie selbst nutzen zu können. Die Sicherheitsfirma MetaIntell hat diese Schwachstelle bereits im Mai entdeckt und gemeldet, doch Facebook soll bisher nur mit einer Verharmlosung des Problems geantwortet haben. Man sehe keine echte Gefahr und halte das Prozedere derzeit für sicher genug, hieß es. Allerdings wurde gegenüber The Hacker News eingestanden, dass es für Android-Nutzer sicherer sei als für iOS-Anwender, und man daher eine Überprüfung der Sicherheitsvorkehrungen unter iOS vornehmen werde.

Anschließen und auslesen

Diese Einschätzung liegt daran, dass die Sicherheitslücke bislang nur ausgenutzt werden kann, wenn man auch im Besitz des Smartphone ist, auf dem der Facebook-OAuth-Login genutzt wird. Die Daten können am Rechner ausgelesen werden, wenn das Gerät per USB angeschlossen wird. Einen Weg über den Zugriff zum Beispiel in einem öffentlichen Wlan soll es nicht geben.

Wie einfach der Zugriff allerdings mit dem Smartphone ist, zeigt MetaIntell in einem kurzen Video. Dort wird demonstriert, wie der Facebook-Token für den Messenger Viber entwendet wird.


Die Daten werden genutzt, um den Facebook-Account zu kapern. Der kopierte Zugangsschlüssel kann ohne weitere Probleme von dem Hacker auf anderen Geräten verwendet werden.

Das Problem wird deshalb von MetaIntell als schwerwiegend eingestuft, da das Auslesen sehr schnell geht und die Facebook-Logins stark verbreitet sind. Laut dem Unternehmen bieten 31 der beliebtesten 100 Android-Apps die Legitimierung per Facebook an, bei iOS sind es sogar 71. MetaIntell empfiehlt aktuell, auf die Nutzung des Facebook-Logins in anderen Apps zu verzichten. Facebook, Social Network, Mark Zuckerberg Facebook, Social Network, Mark Zuckerberg Facebook
Mehr zum Thema: Facebook
Diese Nachricht empfehlen
Kommentieren13
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Bis zu -72% auf Kopfhörer
Bis zu -72% auf Kopfhörer
Original Amazon-Preis
55,32
Im Preisvergleich ab
?
Blitzangebot-Preis
22,00
Ersparnis zu Amazon 0% oder 33,32

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check

Tipp einsenden