Facebook-Sicherheitslücke:
OAuth-Speicherung im Klartext

Sind Apps, die Facebooks OAuth-Legitimierung nutzen, potentiell ein Einfallstor für Hacker? Das zumindest legt ein Bericht von The Hacker News nahe. Demnach ist eine Sicherheitslücke in dem Facebook SDK dafür verantwortlich, das die Logindaten im Klartext gespeichert werden.
Facebook, Börse, Mark Zuckerberg
Facebook
Gefährdet sind demnach Android- und iOS-Apps, die den Facebook-Login nutzen. Damit müssen potentielle Angreifer nur noch die Daten auslesen, um sie selbst nutzen zu können. Die Sicherheitsfirma MetaIntell hat diese Schwachstelle bereits im Mai entdeckt und gemeldet, doch Facebook soll bisher nur mit einer Verharmlosung des Problems geantwortet haben. Man sehe keine echte Gefahr und halte das Prozedere derzeit für sicher genug, hieß es. Allerdings wurde gegenüber The Hacker News eingestanden, dass es für Android-Nutzer sicherer sei als für iOS-Anwender, und man daher eine Überprüfung der Sicherheitsvorkehrungen unter iOS vornehmen werde.

Anschließen und auslesen

Diese Einschätzung liegt daran, dass die Sicherheitslücke bislang nur ausgenutzt werden kann, wenn man auch im Besitz des Smartphone ist, auf dem der Facebook-OAuth-Login genutzt wird. Die Daten können am Rechner ausgelesen werden, wenn das Gerät per USB angeschlossen wird. Einen Weg über den Zugriff zum Beispiel in einem öffentlichen Wlan soll es nicht geben.

Wie einfach der Zugriff allerdings mit dem Smartphone ist, zeigt MetaIntell in einem kurzen Video. Dort wird demonstriert, wie der Facebook-Token für den Messenger Viber entwendet wird.


Die Daten werden genutzt, um den Facebook-Account zu kapern. Der kopierte Zugangsschlüssel kann ohne weitere Probleme von dem Hacker auf anderen Geräten verwendet werden.

Das Problem wird deshalb von MetaIntell als schwerwiegend eingestuft, da das Auslesen sehr schnell geht und die Facebook-Logins stark verbreitet sind. Laut dem Unternehmen bieten 31 der beliebtesten 100 Android-Apps die Legitimierung per Facebook an, bei iOS sind es sogar 71. MetaIntell empfiehlt aktuell, auf die Nutzung des Facebook-Logins in anderen Apps zu verzichten.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 05:59 Uhr 240W USB C Ladegerät, 8 Port USB C netzteil, GaN Ladegerät GaN III Netzteil USB C faltbares PD Ladegerät kompatibel mit MacBook Pro/Air, iPad, Galaxy, iPhone15/14/13 Kamera240W USB C Ladegerät, 8 Port USB C netzteil, GaN Ladegerät GaN III Netzteil USB C faltbares PD Ladegerät kompatibel mit MacBook Pro/Air, iPad, Galaxy, iPhone15/14/13 Kamera
Original Amazon-Preis
79,98
Im Preisvergleich ab
79,99
Blitzangebot-Preis
67,98
Ersparnis zu Amazon 15% oder 12
Im WinFuture Preisvergleich
Metras Aktienkurs in Euro
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!