Sicherheitsproblem: Entwickler saugt Facebook-Logins von Smartphones

Identitätsdiebstahl leicht gemacht: Ein Entwickler erhebt schwere Vorwürfe gegen Facebook. Die Facebook-Apps für Android und iOS speichern seiner Analyse zufolge Login-Daten ungesichert. Wer die Dateien kopiert, kann Facebook-Konten anderer Nutzer kontrollieren.

Facebook-Nutzer: Ein Entwickler wirft Facebook Schlamperei bei der Zugriffssicherung vor Zur Großansicht
DPA

Facebook-Nutzer: Ein Entwickler wirft Facebook Schlamperei bei der Zugriffssicherung vor

Der britische Entwickler Gareth Wright hat beim Experimentieren mit den Programmdaten auf seinem iPhone eine interessante Entdeckung gemacht: Die Facebook-App speicherte auf seinem iPhone Login-Daten im Klartext. Wright berichtet, dass es sich bei den gespeicherten Daten um den sogenannten oAuth-Schlüssel und eine dazugehörende geheime Sicherheitszeichenfolge handele. Beides zusammen erlaubt der App den Zugriff auf ein bestimmtes Facebook-Konto, in das man sich von dem Gerät aus eingeloggt hat.

Wright berichtet, dass diese Login-Daten erschreckend lax gesichert seien. Das Ablaufdatum sei auf das Jahr 4001 gelegt worden. Die Dateien lassen sich missbrauchen, um Zugriff auf fremde Konten zu erlangen, sagt Wright. Er habe seine Login-Daten auf das Smartphone eines Bekannten kopiert (der die Facebook-App installiert hatte und sich ausloggte) - schon war sein Konto über das fremde Telefon zugänglich, allein mit Hilfe der kopierten Login-Daten. Denn Facebook hat die Login-Erlaubnis nicht auf das jeweilige Gerät beschränkt.

Wie kommt man an solche Daten? Wright beschreibt im britischen IT-Fachdienst "The Register" diese Angriffsszenarien:

  • Aus unverschlüsselten iPhone- und iPad-Backups lassen sich dem Entwickler zufolge die Login-Dateien holen.
  • Bei iOS-Geräten können Anwendungen nicht auf Dateien anderer Anwendungen zugreifen, das geht nur bei geknackten Geräten. Auf solchen iOS-Geräten hat Wright erfolgreich Facebook-Login-Daten über manipulierte Apps ausgelesen, die vorgeblich als Dateimanager oder Schummel-Programme für Spiele fungierten.
  • Bei Facebooks Android-Anwendung ist es "The Register" zufolge leichter, mit Hilfe manipulierter Apps die Facebook-Logins zu kopieren: Theoretisch sei das mit einer App möglich, der Nutzer beim Installieren ganz allgemein Zugriff auf den Speicherplatz erlaubt haben. Google hat bis zur Veröffentlichung dieses Artikels nicht auf die Frage geantwortet, ob es tatsächlich so einfach ist, die Login-Dateien der Facebook-Anwendung zu kopieren.
  • Über manipulierte Docking-Stationen habe er es geschafft, von Smartphones die Login-Daten zu kopieren.

Facebook teilte auf Anfrage lediglich mit, man "arbeite an einer Lösung" für dieses Problem. Gareth Wright rät Nutzern vorsichtig zu sein, an welche Rechner, Lade- und Docking-Anschlüsse sie ihre Smartphones anstöpseln. Beim Installieren von Anwendungen sollte man ohnehin vorsichtig sein und iOS-Backups verschlüsseln (in den iTunes-Optionen).

Der Autor auf Facebook

lis

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Facebook
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Zur Startseite

Fotostrecke
Größenvergleich: Facebook = Siemens + RWE + ThyssenKrupp + Lufthansa
Facebook-Mitglieder

Soziale Netzwerke
Facebook
DPA
Facebook ging Anfang 2004 als soziales Netzwerk für Harvard-Studenten online. Zunächst konnten nur Menschen mit E-Mail-Adressen ausgewählter US-Hochschulen Mitglieder werden, seit 2006 ist die Seite für alle Über-13-Jährigen offen. Nach eigenen Angaben hat Facebook 845 Millionen aktive Mitglieder weltweit (Dezember 2011). Mehr zu Facebook auf der Themenseite.
Google+
Google+ ist der Versuch, den sozialen Funktionen von Facebook und Twitter etwas entgegenzusetzen. Das soziale Netzwerk wurde im Juni 2011 gestartet und hat nach Firmenangaben rund 170 Millionen Nutzer (April 2012). Der Funktionsumfang ist rein aus Nutzersicht vergleichbar mit Facebook, Schnittstellen für externe Entwickler sind allerdings eingeschränkt. Google animiert seine Nutzer, das Netzwerk als zentralen Hub für seine Dienste zu nutzen. Mehr zu Google+ auf der Themenseite.
Twitter
DPA
Der auf kurze Textnachrichten spezilalisierte Dienst Twitter wurde im Juli 2006 gegründet. Populär wurde der Dienst als Verteilnetzwerk für Links, Fotos und Videos. Twitter zählt nach eigenen Angaben mehr als 140 Millionen Nutzer (März 2012). Mehr zu Twitter auf der Themenseite.
Xing
Xing (früher OpenBC) wurde 2003 von Lars Hinrichs gegründet. Nach eigenen Angaben hat Xing über 11,7 Millionen Mitglieder (Stand: Dezember 2011), etwa acht Prozent haben einen kostenpflichtigen Premium Account. Bei Xing geht es vor allem um berufliche Kontaktaufnahme. Mehr zu Xing auf der Themenseite...
StudiVZ
Ehssan Dariani hat die Studenten-Community StudiVZ 2005 gegründet. Zuerst investierten Lukasz Gadowski und Matthias Spiess in StudiVZ, später finanzierten es vor allem die Gebrüder Samwer - bekannt für die Klingeltonfirma Jamba - und der Venture-Capital-Arm des Holtzbrinck-Verlags ("Die Zeit", "Handelsblatt"). Im Januar 2007 übernahm Holtzbrinck StudiVZ. Derzeit haben die Plattformen studiVZ.net, schuelerVZ.net und meinVZ.net nach eigenen Angaben rund 17,4 Millionen Nutzer (Stand: Januar 2011). Mehr zu StudiVZ auf der Themenseite...
Lokalisten
Im Mai 2005 gegründet, hat das Netzwerk Lokalisten nach eigenen Angaben (Stand Juli 2010) inzwischen 3,6 Millionen Nutzer. Mehr zu Lokalisten bei Wikipedia...
Spin.de
Das 1996 in Regensburg gegründete Unternehmen Spin betreibt ein eigenes soziales Netzwerk, aber auch integrierte Unter-Communitys mit regionalem Fokus, die mit Partnern vor Ort (Lokalradios vor allem) betrieben werden. Nach eigenen Angaben (Stand Februar 2011) hat Spin.de eine Million aktive Mitglieder. Mehr zu Spin.de bei Wikipedia...
Wer kennt wen
Wer-kennt-wen wurde von den beiden Studenten Fabian Jager und Patrick Ohler gegründet. Seit Februar 2009 gehört das Netzwerk vollständig RTL Interactiv, die Gründer schieden Ende August 2010 aus. Das Netzwerk hat laut Betreiber über 9,5 Millionen Nutzer (Stand: Januar 2012). Mehr zu Wer-kennt-wen bei Wikipedia...
MySpace
MySpace war 2006 das populärste soziale Netzwerk in den USA. Ein Jahr zuvor war es von Rupert Murdochs News Corporation gekauft worden. Bekannt wurde es durch die Möglichkeit, Musik einzubinden. Künstler und Bands nutzten die Plattform als Marketingplattform. Zeitweise hatte MySpace mehr als 220 Millionen Nutzer, nach Berechnungen von Google rund 30 Millionen Nutzer (Dezember 2011). Mehr zu MySpace auf der Themenseite...

E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.