Sicherheitslücke ermöglicht Zugriff auf beliebige Facebook-Konten

von Stefan Beiersmann am , 08:51 Uhr

Offenbar stecken mehrere Fehler im Authentifizierungsdienst OAuth. Sie sind Facebook bekannt. Mindestens eine Lücke wurde bereits geschlossen. Entwickler erhalten darüber Einblick in Nachrichten, Fotos und Videos eines Nutzers.

Ein Sicherheitsforscher hat mehrere Lücken in Facebooks System gefunden, die es einem Entwickler erlauben, auf Daten beliebiger Facebook [1]-Mitglieder zuzugreifen. Einem Blogeintrag [2] von Nir Goldshlager zufolge stecken die Fehler in der Verwaltung der Berechtigungen, die eine App vom Nutzer erhält, damit sie dessen Daten abrufen und verarbeiten kann.

Facebook-Logo [3]

Eine dieser Anfälligkeiten, die er an Facebook gemeldet habe, sei inzwischen beseitigt worden, schreibt Goldshlager, der sich beruflich mit dem Auffinden von Sicherheitslücken beschäftigt. Facebooks Authentifizierungsdienst OAuth sei aber weiterhin unsicher. „Ich habe noch mehr OAuth-Fehler gefunden und warte nur auf einen Fix, damit ich darüber schreiben kann.

Facebook wollte sich nicht zu den anderen, von Goldshlager angesprochenen Fehlern äußern. Es teilte lediglich mit, die zuerst von ihm entdeckte Schwachstelle sei von keinem Facebook-Entwickler missbraucht worden. Unklar ist, wann Goldshlager das Social Network über die Sicherheitsprobleme informiert hat.

„Wir applaudieren dem Sicherheitsforscher, der uns auf diesen Fehler aufmerksam gemacht hat“, heißt es in einer E-Mail eines Facebook-Sprechers an News.com. Durch den verantwortungsvollen Umgang des Forschers mit dem Fehler gebe es keine Hinweise auf einen Missbrauch. „Wir haben dem Forscher eine Prämie gezahlt, um ihm für seinen Beitrag zur Sicherheit von Facebook zu danken.“

Goldshlager war seinem Blogeintrag zufolge in der Lage, sogenannte Access Tokens zu stehlen und sich damit als Entwickler auszugeben. Anschließend habe er alle Nachrichten, Fotos und Videos eines Nutzers abrufen und dessen Profil verwalten können. Das sei sogar mit Profilen möglich gewesen, die nie eine zusätzliche App installiert hätten. Facebooks eigene Apps wie der Messenger seien ausreichend. Zudem seien die Tokens für den Facebook Messenger unbegrenzt gültig. Das Token einer App eines Drittanbieters verfalle hingegen, sobald ein Opfer sein Passwort ändere.

Einen ähnlichen Fehler in Googles Android-Marktplatz Play [4] hatte ein australischer Entwickler vor rund zwei Wochen gemeldet. Er erhielt Zugriff auf sämtliche Kundendaten der Käufer seiner Apps. „Das ist ein schlimmes Versehen von Google [5]“, schreibt er in seinem Blog. „Unter keinen Umständen sollte ich diese Daten zu sehen bekommen, außer die Leute stimmen dem zu und wissen auch ganz genau, dass ich ihre Daten erhalte.“ An Google richtete er sich mit den Worten: „Behebt das. Sofort.“

[mit Material von Donna Tam, News.com [6]]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de [7].

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88144809/sicherheitslucke-ermoglicht-zugriff-auf-beliebige-facebook-konten/

URLs in this post:

[1] Facebook: http://www.zdnet.de/unternehmen/facebook/

[2] Blogeintrag: http://www.nirgoldshlager.com/2013/02/how-i-hacked-facebook-oauth-to-get-full.html

[3] Image: http://www.zdnet.de/wp-content/uploads/2012/11/facebook-logo.jpg

[4] ähnlichen Fehler in Googles Android-Marktplatz Play: http://www.zdnet.de/88143559/sicherheitslucke-in-google-play-entwickler-erhalten-samtliche-kundendaten/

[5] Google: http://www.zdnet.de/unternehmen/google/

[6] News.com: http://news.cnet.com/8301-1023_3-57570811-93/hacker-says-security-flaw-let-him-access-any-facebook-profile/

[7] Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de: http://www.silicon.de/quiz/sind-sie-ein-facebook-experte-10-1/