Vorsicht bei Facebook Login: Sicherheitslücke in Android und iOS
Compterhilfen »
News » Vorsicht bei Facebook Login: Sicherheitslücke in Android und iOS
07.07.2014, 07:16 Uhr (3761x gelesen)
Eine Sicherheitslücke bei Facebook macht das Anmelden mit fremden Apps unsicher: Bei zahlreichen Handy-Apps kann man sich ganz einfach mit seinem Facebook-Account anmelden – Die App erhält dann Daten wie den Namen oder die Email-Adresse direkt von Facebook, man muss nicht mehr alles neu eingeben. Weil das so praktisch ist, sollen 71 der 100 beliebtesten Apps für iPhone und iPad diese Anmelde-Funktion nutzen – bei Android sind es immerhin knapp 30 der 100 beliebtesten Apps.
Laut der amerikanischen Sicherheitsfirma MetaIntell enthält das Facebooks Software-Development-Kit, mit der die Programmierer auf die Facebook-Funktionen zugreifen können, um die Anmelde-Funktion zu nutzen, aber eine gravierende Sicherheitslücke: Beim ersten Zugriff wird ein Software-Schlüssel gespeichert, damit man sich mit der App nicht jedes Mal neu bei Facebook anmelden muss. Dieser Schlüssel wird aber nicht verschlüsselt, sondern als direkt lesbarer Text direkt auf dem Handy gespeichert: Bekommt ein Hacker das Gerät in die Hände, soll er den Schlüssel und die Anmelde-Daten relativ einfach über einen angeschlossenen Computer auslesen können.
Wie das geht, zeigt MetaIntell hier im Demonstrations-Video:
Das Team von MetaIntell hat die Sicherheitslücke bereits im Mai entdeckt und an Facebook gemeldet – Facebook selbst hält die Sicherheitslücke aber zur Zeit für sehr theoretisch, da der Angreifer auch direkten Zugriff auf das Handy selbst brauche – und damit sehr wahrscheinlich über die gespeicherten Passwörter im Browser oder der Facebook App einen viel einfacheren Zugriff auf die Zugangsdaten bekommt: Einmal in Facebook angemeldet, hat man über die App oder den Browser vollen Zugriff auf die Facebook-Daten des Nutzers – das Passwort oder die Email-Adresse (um sich ein vergessenes Passwort zuschicken zu lassen) lassen sich aber auch so von einem Angreifer nur ändern, wenn er auch das aktuelle Passwort kennt.
» Tipp: Smartphone verloren: So ortet man sein iPhone oder Android-Handy