Facebooks Single-Sign-on hat ein Problem und die Lage eskaliert
Ein Sicherheitsforscher hat schon vor einiger Zeit eine Schwachstelle im Single-Sign-on-System von Facebook entdeckt. Dieser ermöglicht es Angreifern, Accounts auf Webseiten Dritter zu kapern. Nachdem Facebook das Problem lange nicht beheben wollte, eskaliert die Angelegenheit nun.
Egor Homakov von der Security-Firma Sakurity hatte bereits im Januar darüber informiert, dass es ein Problem gibt. Jetzt veröffentlichte er ein Tool namens Reconnect, mit dem die Sicherheitslücke nachvollzogen werden kann. Die Software generiert URLs, mit denen die Schwachstelle, die auf einer Cross-Site Request Forgery (CSRF) beruht, ausgenutzt werden kann.
Single-Sign-on gilt gemeinhin als bequemer Weg für den Zugriff auf eine Vielzahl von Accounts. Denn der Anwender muss nicht mehr bei jedem Angebot, das er im Web nutzen will, ein eigenes Konto mit Nutzernamen und Passwort erstellen, sondern loggt sich mit einer zentralen Zugangskennung ein. Facebook bietet sich hier als Anbieter eines solchen Verfahrens an, da ohnehin ein großer Teil der User bei dem Social Network angemeldet ist.
Laut Homakov sträubt sich Facebook allerdings seit einem Jahr, das Problem anzugehen. Denn dies würde erst einmal gewaltige Folgen nach sich ziehen. Inzwischen bieten tausende Seiten ihren Nutzern einen Zugang per Facebook-Login an. Ein Update der Skripte auf Seiten des Social Networks würde hier für Kompatibilitätsprobleme sorgen. Erst einmal wären die Zugänge zu den Angeboten, die auf das Single-Sign-on setzen versperrt. Funktionieren würden sie erst wieder, wenn auch die jeweiligen Seitenbetreiber Anpassungen vorgenommen haben.
Dies dürfte im Fall des Falles vermutlich recht schnell geschehen. Doch ist anzunehmen, dass man bei Facebook schlicht befürchtete, dass die Zugangsprobleme, die dann viele Millionen Nutzer treffen würden, auf das Social Network zurückfallen. Homakov hofft nun, mit der Veröffentlichung seines Tools ausreichend Druck aufgebaut zu haben, dass die Schwachstelle endlich behoben wird.
Single-Sign-on gilt gemeinhin als bequemer Weg für den Zugriff auf eine Vielzahl von Accounts. Denn der Anwender muss nicht mehr bei jedem Angebot, das er im Web nutzen will, ein eigenes Konto mit Nutzernamen und Passwort erstellen, sondern loggt sich mit einer zentralen Zugangskennung ein. Facebook bietet sich hier als Anbieter eines solchen Verfahrens an, da ohnehin ein großer Teil der User bei dem Social Network angemeldet ist.
Reihenweise Accounts in Gefahr
Wenn es aber bei dem zentralen Anbieter ein Problem gibt, kann dies weitreichende Folgen haben, wie die aktuelle Angelegenheit nun zeigt. Angreifer brauchen einen Nutzer nur dazu bringen, auf eine manipulierte URL zu klicken. Dies sorgt dann dafür, dass alle Seiten, bei denen dieser sich mit Facebooks Single-Sign-on registriert hat, mit einem Facebook-Account verbunden werden, der unter der Kontrolle der Angreifer steht. Diese erhalten so im Zweifelsfall einen direkten Zugang zu persönlichen Informationen, privaten Nachrichten und anderen Daten, die bei verschiedensten Seiten hinterlegt sind.Laut Homakov sträubt sich Facebook allerdings seit einem Jahr, das Problem anzugehen. Denn dies würde erst einmal gewaltige Folgen nach sich ziehen. Inzwischen bieten tausende Seiten ihren Nutzern einen Zugang per Facebook-Login an. Ein Update der Skripte auf Seiten des Social Networks würde hier für Kompatibilitätsprobleme sorgen. Erst einmal wären die Zugänge zu den Angeboten, die auf das Single-Sign-on setzen versperrt. Funktionieren würden sie erst wieder, wenn auch die jeweiligen Seitenbetreiber Anpassungen vorgenommen haben.
Dies dürfte im Fall des Falles vermutlich recht schnell geschehen. Doch ist anzunehmen, dass man bei Facebook schlicht befürchtete, dass die Zugangsprobleme, die dann viele Millionen Nutzer treffen würden, auf das Social Network zurückfallen. Homakov hofft nun, mit der Veröffentlichung seines Tools ausreichend Druck aufgebaut zu haben, dass die Schwachstelle endlich behoben wird.
Thema:
Metras Aktienkurs in Euro
Videos zum Thema Facebook
- The Social Reckoning: Erster Trailer zum brisanten Facebook-Thriller
- Super Bowl 2026: Oakley Meta-Brillen halten epische Sportmomente fest
- WhatsApp: Wie man ungewollte Gruppen-Einladungen vermeidet
- Super Bowl 2025: Eine Banane für Chris Pratt und Chris Hemsworth
- Mehr als eine Kamerabrille? Die Ray-Ban-Meta-Smart Glasses im Test
The Social Network im Preis-Check
Beiträge aus dem Forum
-
Facebook Werbung
Ler-Khun -
Facebook sperrt meinen Account und verlangt zum Entsperren Foto
Doodle -
Abfrage der Datenschutzeinstellungen bei jedem Neustart.
DK2000 -
Keine Anzeige meiner Beiträge in Facebook
IsabellaKrystynek -
deutscher Warcraft 3 Discord / deutsche Warcraft 3 Community Facebook
thielemann03 -
Forum und Newsseite datenschutzfreundlicher machen
DanielDuesentrieb -
Facebook Newsfeed Frage
Schlutopia
Neue Downloads
Weiterführende Links
Neue Nachrichten
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
- Galaxy Watch 9 & Ultra 2: Samsung setzt auf neue CPU & größere Akkus
- Suchtgefahr bei Facebook und Instagram: Die EU fordert neues Design
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen