Facebook-Nutzer: Ein Entwickler wirft Facebook Schlamperei bei der Zugriffssicherung vor
Der britische Entwickler Gareth Wright hat beim Experimentieren mit den Programmdaten auf seinem iPhone eine interessante Entdeckung gemacht: Die Facebook-App speicherte auf seinem iPhone Login-Daten im Klartext. Wright berichtet, dass es sich bei den gespeicherten Daten um den sogenannten oAuth-Schlüssel und eine dazugehörende geheime Sicherheitszeichenfolge handele. Beides zusammen erlaubt der App den Zugriff auf ein bestimmtes Facebook-Konto, in das man sich von dem Gerät aus eingeloggt hat.
Wright berichtet, dass diese Login-Daten erschreckend lax gesichert seien. Das Ablaufdatum sei auf das Jahr 4001 gelegt worden. Die Dateien lassen sich missbrauchen, um Zugriff auf fremde Konten zu erlangen, sagt Wright. Er habe seine Login-Daten auf das Smartphone eines Bekannten kopiert (der die Facebook-App installiert hatte und sich ausloggte) - schon war sein Konto über das fremde Telefon zugänglich, allein mit Hilfe der kopierten Login-Daten. Denn Facebook hat die Login-Erlaubnis nicht auf das jeweilige Gerät beschränkt.
Wie kommt man an solche Daten? Wright beschreibt im britischen IT-Fachdienst "The Register" diese Angriffsszenarien:
Facebook teilte auf Anfrage lediglich mit, man "arbeite an einer Lösung" für dieses Problem. Gareth Wright rät Nutzern vorsichtig zu sein, an welche Rechner, Lade- und Docking-Anschlüsse sie ihre Smartphones anstöpseln. Beim Installieren von Anwendungen sollte man ohnehin vorsichtig sein und iOS-Backups verschlüsseln (in den iTunes-Optionen).
lis
Auf anderen Social Networks teilen
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
| alles aus der Rubrik Netzwelt | Twitter | RSS |
| alles aus der Rubrik Web | RSS |
| alles zum Thema Facebook | RSS |
© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
Wetter
