Facebook-Sicherheitslücke: OAuth-Speicherung im Klartext

Sind Apps, die Facebooks OAuth-Legitimierung nutzen, potentiell ein Einfallstor für Hacker? Das zumindest legt ein Bericht von The Hacker News nahe. Demnach ist eine Sicherheitslücke in dem Facebook SDK dafür verantwortlich, das die Logindaten ... mehr... Facebook, Social Network, Mark Zuckerberg Bildquelle: Facebook Facebook, Social Network, Mark Zuckerberg Facebook, Social Network, Mark Zuckerberg Facebook

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Frage: könnte eine Schadsoftware diese Daten nicht auch direkt auf den Gerät auslesen?
 
Interessant, ich kann es nicht "Bejahen" aber nach dem was ich gefunden habe ist es zumindest "Denkbar", jemand mit mehr Erfahrung könnte aus den Hinweisen im zweiten Link, sicherlich eine entsprechende Routine bauen:
http://www.danisch.de/blog/2011/05/28/angriff-uber-rsa-securid-token/
http://dreamworker.de/showthread.php?28684-PHP-Sicherheit-in-Sessions
 
Ich stimme hierbei Facebook zu. Es ist wirklich keine große Lücke. Jemand muss Dein Handy stehlen UND dann muss er noch wissen wie er zu dem Passwort kommt. Die Chance ist doch sehr sehr sehr gering.

Und für die, die einen PIN als Entsperrcode haben, muss dieser auch noch geknackt werden.
 
@maxerl123: Etwas was in Klartext gespeichert wird kann auf dem einen oder anderen Weg ausgelesen werden. Wie wäre es zB mit Malware die eine Remote-Session einrichtet? ;)
Finde diese Verharmlosungen solcher Schwachstellen einfach nur billig und schlimm - wäre mal Zeit das jedwedes Unternehmen für die produzierten Schwachstellen die eindeutig zu vermeiden gewesen wären zu 100% haftet. Kein Code ist fehlerfrei .. schon klar .. aber Passwörter und tokens in Klartext ? ! ? ... das ist einfach nur fahrlässig
 
@chrislog: da die Daten im gesicherten Speicher liegen, also in dem Bereich, wo die App nur selbst Zugriff hat, ist die Gefahr bei einem Standardgerät wirklich gering. Irgendwo stehen die Daten sowieso um Klartext; sei es nun im Speicher oder bei der Verwendung: das Passwort muss ja irgendwann verwendet werden. Da der Zugriff auf den geschützen lokalen Speicher nur mit einem geknackten, gerooteten Gerät erfolgen kann, ist die Gefahr genauso hoch wie bei einem Auslesen des Speichers. Rein technisch gesehen....
 
@maxerl123: "Und für die, die einen PIN als Entsperrcode haben, muss dieser auch noch geknackt werden."

Ich hatte letztens versehentlich ein Pin gesetzt ... und vergessen was ich eingegeben hatte (VPN Einrichtung wollte es haben) ... also war ich ausgesperrt.

Es hat mich knapp 10 Minuten gekostet raus zu finden welche Dateien dafür zuständig sind. Diese gelöscht. FERTIG. Es ist keine hexerei. Der Pin Schutz (so lange dahinter keine Verschlüsselung steckt) ist wie beim Windows Passwort nur eine kleine Hürde für den schnellen Zugriff. Aber nichts ernst zu nehmendes.
###

Eine größere hürde sehe ich das "remote" auszulesen. Also die Daten. Da meines Wissens nach die Apps untereinander ja kein Zugriff haben (root mal ausgenommen).
 
@Hausmeister: Sorry, aber was auch immer Du da in 10 Minuten herausgefunden und gelöscht haben willst, die Gerätesperre eines Androiden war es bestimmt nicht.
 
@iPeople: Möglichkeiten scheint es zu geben, die Geschichte oben (Dateien gelöscht) bezweifel ich aber auch. http://www.pcwelt.de/ratgeber/PIN_vergessen___so_knacken_Sie_Ihr_Handy-Android-8444136.html
 
@_rabba_u_k_e_: DAs probier ich nachher mal aus ... wenn das geht, ist das eine wirklich gravierende Sicherheitslücke im Android.
 
@iPeople: Da mein kommentar gerade, wohl zu recht, gelöscht wurde. Nochmal neutraler.

1. http://forum.xda-developers.com/showthread.php?t=2620456
2. in /data/system gesture.key sowie locksettings.db* löschen. Fertig, handy neustarten und der Lockscreen Pin/Gesture ist WEG
 
@Hausmeister: Habe den Thread mal kurz überflogen und die genannten Methoden funktionieren nur entweder auf "gerooteten" Geräten oder mit offenem Bootloader oder wenn ADB ständig an ist (was grundsätzlich nicht zu empfehlen ist!) und mit diesen Dingen (zumindest den beiden letzteren) kann man alles(!) mit den Smartphones machen.

Bei den meisten Modellen ist also eine "Vorarbeit" an einem bereits ungesperrten Gerät nötig!

Habe übrigens deinen Ursprungskommentar gelesen und den kannst du jetzt gerne auf dich selbst beziehen :)

Edit: Falls ich etwas überlesen haben sollte entschuldige ich mir hiermit schonmal im Voraus und behaupte das Gegenteil :)
 
@Hausmeister: Eben, wie "Themis" schon sagte, gehört dazu mehr ... es ist an Bedingungen geknüpft.
 
@maxerl123: Ich sehe das auch so! Arbeite gerade intensiv mit OAuth und sehe da auch kein großes Problem:
1) Der Token muss zuerst ausgelesen werden
2) Gilt der Token nur eine begrenzte Zeit
3) Am wichtigsten: Mit dem Token hat man nur Zugriff auf dass, was mit genau dem Token angefordert wurde. Wenn das z.B. ein normaler "Login with Facebook"-Token ist, hat man mit diesem nur Lesezugriff auf Name und E-Mail-Adresse, kann aber weder die Freundesliste auslesen, noch etwas posten. Wenn doch, hat der App-Entwickler "zu viel Rechte angefordert" (und der Benutzer dies auch bestätigt).
Kommentar abgeben Netiquette beachten!

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check