Sicherheitsproblem Entwickler saugt Facebook-Logins von Smartphones

Identitätsdiebstahl leicht gemacht: Ein Entwickler erhebt schwere Vorwürfe gegen Facebook. Die Facebook-Apps für Android und iOS speichern seiner Analyse zufolge Login-Daten ungesichert. Wer die Dateien kopiert, kann Facebook-Konten anderer Nutzer kontrollieren.

Facebook-Nutzer: Ein Entwickler wirft Facebook Schlamperei bei der Zugriffssicherung vor
DPA

Facebook-Nutzer: Ein Entwickler wirft Facebook Schlamperei bei der Zugriffssicherung vor


Der britische Entwickler Gareth Wright hat beim Experimentieren mit den Programmdaten auf seinem iPhone eine interessante Entdeckung gemacht: Die Facebook-App speicherte auf seinem iPhone Login-Daten im Klartext. Wright berichtet, dass es sich bei den gespeicherten Daten um den sogenannten oAuth-Schlüssel und eine dazugehörende geheime Sicherheitszeichenfolge handele. Beides zusammen erlaubt der App den Zugriff auf ein bestimmtes Facebook-Konto, in das man sich von dem Gerät aus eingeloggt hat.

Wright berichtet, dass diese Login-Daten erschreckend lax gesichert seien. Das Ablaufdatum sei auf das Jahr 4001 gelegt worden. Die Dateien lassen sich missbrauchen, um Zugriff auf fremde Konten zu erlangen, sagt Wright. Er habe seine Login-Daten auf das Smartphone eines Bekannten kopiert (der die Facebook-App installiert hatte und sich ausloggte) - schon war sein Konto über das fremde Telefon zugänglich, allein mit Hilfe der kopierten Login-Daten. Denn Facebook hat die Login-Erlaubnis nicht auf das jeweilige Gerät beschränkt.

Wie kommt man an solche Daten? Wright beschreibt im britischen IT-Fachdienst "The Register" diese Angriffsszenarien:

  • Aus unverschlüsselten iPhone- und iPad-Backups lassen sich dem Entwickler zufolge die Login-Dateien holen.
  • Bei iOS-Geräten können Anwendungen nicht auf Dateien anderer Anwendungen zugreifen, das geht nur bei geknackten Geräten. Auf solchen iOS-Geräten hat Wright erfolgreich Facebook-Login-Daten über manipulierte Apps ausgelesen, die vorgeblich als Dateimanager oder Schummel-Programme für Spiele fungierten.
  • Bei Facebooks Android-Anwendung ist es "The Register" zufolge leichter, mit Hilfe manipulierter Apps die Facebook-Logins zu kopieren: Theoretisch sei das mit einer App möglich, der Nutzer beim Installieren ganz allgemein Zugriff auf den Speicherplatz erlaubt haben. Google hat bis zur Veröffentlichung dieses Artikels nicht auf die Frage geantwortet, ob es tatsächlich so einfach ist, die Login-Dateien der Facebook-Anwendung zu kopieren.
  • Über manipulierte Docking-Stationen habe er es geschafft, von Smartphones die Login-Daten zu kopieren.

Facebook teilte auf Anfrage lediglich mit, man "arbeite an einer Lösung" für dieses Problem. Gareth Wright rät Nutzern vorsichtig zu sein, an welche Rechner, Lade- und Docking-Anschlüsse sie ihre Smartphones anstöpseln. Beim Installieren von Anwendungen sollte man ohnehin vorsichtig sein und iOS-Backups verschlüsseln (in den iTunes-Optionen).

Der Autor auf Facebook

lis

Mehr zum Thema


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.