Sicherheitslücke unter iOS und Android: Euer Facebook Account ist gefährdet (Update)

Sicherheitslücke unter iOS und Android: Euer Facebook Account ist gefährdet (Update)


TheHackerNews berichtete gestern über eine Sicherheitslücke in Facebooks SDK für mobile Endgeräte. Wir wollen hier nicht in die Details gehen, (diese kann man zum Beispiel hier nachlesen) sondern euch das Ganze vereinfacht erklären.

Was ist passiert

Wenn eine App (Spotify, Viber, …) euch um einen Facebook Log-in bittet, dann erhält diese App von Facebook anschließend eine Art Zugangsschlüssel zu eurem Account. Damit kann die App dann zum Beispiel auf eure Freundeslisten zugreifen. Soweit so gut. Damit die App aber auch beim nächsten Start auf eure Daten zugreifen kann, muss dieser Schlüssel irgendwo gespeichert werden. Das Facebook Software Development Kit (SDK) wählt dafür automatisch einen Speicherort innerhalb der Nutzereinstellungen. Dort wird der Zugangsschlüssel unverschlüsselt abgelegt.

Das ist so lange kein Problem, bis das Smartphone an einen Computer angeschlossen wird. Denn dann kann man mit relativ wenig Aufwand unter iOS (deutlich weniger als eine Minute) und etwas mehr Aufwand unter Android auf genau diese Zugangsschlüssel zugreifen und erhält damit alle Berechtigungen, die auch die entsprechende App zuvor hatte.

Ein kleines Video zeigt, wie ein solcher Hack ganz konkret abläuft:

Auch wir waren mit diesem Video innerhalb kürzester Zeit in der Lage, uns aus der iOS Spotify App einen Zugangsschlüssel auszulesen, mit dem wir dann Zugriff auf den Newsfeed, die Freundesliste und auch das Geburtsdatum des entsprechenden Nutzers hatten.

Facebook reagierte, auf diese Sicherheitslücke angesprochen, nicht gerade motiviert:

I followed up with our Platform team to see if there were any changes they wanted to make here: – On the Android side we’ve concluded that we will not be making any changes: we are comfortable with the level of security provided by the Android OS. – On the iOS side the team is exploring the possibility of moving the access token storage to the keychain in order to comply with best practices.

Facebook bietet Entwicklern zwar einen alternativen Weg an, um die Zugangsschlüssel zu speichern, dieser bedeutet für den Entwickler aber deutlich mehr Aufwand. Ein Nutzer kann einer App von außen leider auch nicht ansehen, ob und wo der Zugangsschlüssel abgelegt wird.

Was kann/muss ich als Nutzer tun?

Bis Facebook die SDK ändert und den Schlüssel entweder an einer anderen Stelle speichert oder verschlüsselt sollten Smartphone-Nutzer darauf achten, ihr Gerät niemals aus der Hand zu geben oder unbeaufsichtigt zu lassen. Das Gleiche gilt für euren Rechner, auf dem ihr Back-ups eures Smartphones habt, denn auch dort sind diese Zugangsschlüssel abgelegt.

Android-Nutzer sollten Apps niemals die Berechtigung geben, auf das Dateisystem zuzugreifen, denn auch auf diesem Wege können Angreifer an den Zugangsschlüssel gelangen.

Update:

Es gibt ein weiteres Statement von Facebook. Auch das klingt wenig engagiert:

We disagree with this assessment of our access token storage on Android and iOS. We store these tokens within the sandboxing architecture that both operating systems offer to block abuse from third party applications. Preventing physical, unlocked access to your device can defeat the described attack, and recent iOS versions also prompt for confirmation when connecting to new devices. We will continue to follow best practices for protecting people’s information while using our services.

ImageCredits: Dacian G. @ Shutterstock.com

Share on FacebookTweet about this on TwitterShare on Google+Pin on PinterestShare on LinkedInBuffer this pageEmail this to someone

Es gibt 2 Kommentare

Deinen hinzufügen
  1. 1
    Almedin

    „Auch wir waren mit diesem Video innerhalb kürzester Zeit in der Lage, uns aus der iOS Spotify App einen Zugangsschlüssel auszulesen, mit dem wir dann Zugriff auf den Newsfeed, die Freundesliste und auch das Geburtsdatum des entsprechenden Nutzers hatten.“
    Aber was machen Sie dann mit diesen Daten? Wen interessiert’s?

    • 2
      Jens Wiese

      Mit diesen Daten können Sie zum Beispiel in deinem Namen auf Facebook posten oder je nach App auch auf den von dir verwalteten Facebook Pages. Das dürfte dann schon interessieren.

+ Hinterlasse einen Kommentar