Nach Sicherheitslücke: Facebook rät zu App Aktualisierung

Die kalifornische Entwicklerplattform Parse weist auf eine ernsthafte Sicherheitslücke in Facebooks Android-Entwicklungsumgebung hin. Während der Arbeit an Facebooks Android-Client bemerkte Entwickler David Poll bereits im Februar, dass eine Fehlfunktion des Apps unter Umständen ermöglichen kann, die Identität eines Facebook-Nutzers zu übernehmen. Der Fehler könnte in allen Apps auftreten, die mit Facebooks Entwicklungsumgebung für Android erstellt wurden.

Um seinen Verdacht zu bestätigen, programmierte Poll eine App namens "FacebookThief" und konnte sich als beliebiger Facebook-Nutzer in jede App einloggen, die auf dem Facebook-SDK basiert. Es war ihm sogar möglich, Kommentare auf der Nutzer-Pinnwand zu veröffentlichen, die dort angezeigt wurden, als kämen sie von der bestohlenen Anwendung selbst. Nachdem Poll die Angelegenheit Facebook gemeldet hatte, war das Problem beim Facebook-SDK innerhalb von 24 Stunden behoben, so der Programmierer.

Facebook bat Poll, über die Angelegenheit Stillschweigen zu bewahren, bis das Social Network die wichtigsten App-Entwickler zu entsprechenden Updates bewegen konnte. Inzwischen, so Poll, habe ihn Facebook darüber informiert, sämtliche Entwickler mit populären Anwendungen hätten diese auf den neuesten Stand gebracht. Allem Anschein nach sei es zu keinerlei Missbrauch gekommen. Trotzdem, so "Readwriteweb", hält die Geschichte für App-Anwender zwei wichtige Lehren bereit. Zum einen: Versichern Sie sich, welche Zugangsberechtigungen die von Ihnen genutzte App verlangt. Und achten Sie darauf, Ihre Apps stets zu aktualisieren.

Seinen Mitgliedern rät Facebook: "Nutzer können sich schützen, indem sie die aktuellsten Versionen ihrer Apps herunterladen und alle nicht-vertrauenswürdigen Apps deinstallieren."

Was vertrauenswürdig ist und was nicht - das müssen die Nutzer selbst entscheiden.

Minderjährige Jungen mit Webcam-Videos erpresst

Der Betreiber eines kleinen Internet-Providers im US-Bundesstaat Indiana soll Hunderte Jungen im Alter von 14 bis 16 Jahren erpresst haben. Der Mann soll seine Opfer auf Videochat-Plattformen zu sexuellen Handlungen vor der Webcam animiert, diese mitgeschnitten und die Opfer dann erpresst haben.

"Ars Technica" berichtet, dass die Opfer sich vor der Webcam mit sexuell eindeutigen Aktionen zeigen mussten, andernfalls drohte der Erpresser, ihre Identitäten und eindeutige Clips zu veröffentlichen. An den Tag kam die Geschichte durch eines der Opfer, das sich seinem Bruder und schließlich seinen Eltern anvertraut hatte. Der 14-Jährige musste zu bestimmten Zeiten vor der Webcam seines Computer erscheinen und zum Beispiel nackt im Zimmer tanzen oder sich selbst befriedigen - immer in der Angst, sein Erpresser würde seine Videoclips auf Pornoseiten veröffentlichen.

Nachdem der Erpresser verlangte, beim nächsten Chatkontakt müsse der Junge zusammen mit einem anderen Oralsex haben, offenbarte sich das verängstigte Opfer schließlich seiner Familie. Der sofort verständigten Polizei gelang es, den mutmaßlichen Täter zu identifizieren, bei der Durchsuchung seines Hauses fielen den Beamten Videos von Hunderten Jungen in die Hände. Der Mann sitzt nun in Untersuchungshaft und muss mit einer Strafe von bis zu 30 Jahren Gefängnis rechnen, sollte er für schuldig befunden und verurteilt werden.

Auch das noch

• Kinect spielt Orgel: Ein australischer Komponist und Sound-Designer hat für das Microsoft-Gerät eine Steuersoftware entwickelt, mit der er eine große Konzertorgel bespielt. Unterm Strich wirkte der Musiker bei der Aufführung wie ein "Verkehrspolizist mit einer 'Phantom der Oper'-Fixierung", findet "The Register".
• Zwergrechner Raspberry Pi bekommt CE-Prüfsiegel. Wie die Hersteller des Computerchens mitteilen, ging die einwöchige Überprüfung ohne Änderungsforderungen über die Bühne. Neben dem europäischen Sicherheitssiegel erhielt Raspberry auch die Zulassung für den amerikanischen, kanadischen und australischen Markt.
• Erster US-Bundesstaat verbietet Arbeitgebern Passwortabfrage von Social-Media-Profilen. Fehlt nur noch die Unterschrift vom Gouverneur, dann verbietet Maryland Arbeitgebern, von ihren Angestellten und auch Arbeitssuchenden die Herausgabe ihrer Passwörter für Facebook und andere Dienste zu verlangen.
• Trojaner-Attacken gegen Pro-Tibet-Organisationen. Dazu versenden die Angreifer E-Mails mit Unterstützungstexten für tibetische Unabhängigkeitsbestrebungen. Wer einen darin enthaltenen Link anklickt, fängt sich den "Gh0st RAT"-Trojaner ein, mit dem chinesische Hacker 2011 im großen Stil Industriespionage betrieben hatten.