Ein Sicherheitsforscher hat mehrere Lücken in Facebooks System gefunden, die es einem Entwickler erlauben, auf Daten beliebiger Facebook-Mitglieder zuzugreifen. Einem Blogeintrag von Nir Goldshlager zufolge stecken die Fehler in der Verwaltung der Berechtigungen, die eine App vom Nutzer erhält, damit sie dessen Daten abrufen und verarbeiten kann.
Eine dieser Anfälligkeiten, die er an Facebook gemeldet habe, sei inzwischen beseitigt worden, schreibt Goldshlager, der sich beruflich mit dem Auffinden von Sicherheitslücken beschäftigt. Facebooks Authentifizierungsdienst OAuth sei aber weiterhin unsicher. „Ich habe noch mehr OAuth-Fehler gefunden und warte nur auf einen Fix, damit ich darüber schreiben kann.
Facebook wollte sich nicht zu den anderen, von Goldshlager angesprochenen Fehlern äußern. Es teilte lediglich mit, die zuerst von ihm entdeckte Schwachstelle sei von keinem Facebook-Entwickler missbraucht worden. Unklar ist, wann Goldshlager das Social Network über die Sicherheitsprobleme informiert hat.
„Wir applaudieren dem Sicherheitsforscher, der uns auf diesen Fehler aufmerksam gemacht hat“, heißt es in einer E-Mail eines Facebook-Sprechers an News.com. Durch den verantwortungsvollen Umgang des Forschers mit dem Fehler gebe es keine Hinweise auf einen Missbrauch. „Wir haben dem Forscher eine Prämie gezahlt, um ihm für seinen Beitrag zur Sicherheit von Facebook zu danken.“
Goldshlager war seinem Blogeintrag zufolge in der Lage, sogenannte Access Tokens zu stehlen und sich damit als Entwickler auszugeben. Anschließend habe er alle Nachrichten, Fotos und Videos eines Nutzers abrufen und dessen Profil verwalten können. Das sei sogar mit Profilen möglich gewesen, die nie eine zusätzliche App installiert hätten. Facebooks eigene Apps wie der Messenger seien ausreichend. Zudem seien die Tokens für den Facebook Messenger unbegrenzt gültig. Das Token einer App eines Drittanbieters verfalle hingegen, sobald ein Opfer sein Passwort ändere.
Einen ähnlichen Fehler in Googles Android-Marktplatz Play hatte ein australischer Entwickler vor rund zwei Wochen gemeldet. Er erhielt Zugriff auf sämtliche Kundendaten der Käufer seiner Apps. „Das ist ein schlimmes Versehen von Google“, schreibt er in seinem Blog. „Unter keinen Umständen sollte ich diese Daten zu sehen bekommen, außer die Leute stimmen dem zu und wissen auch ganz genau, dass ich ihre Daten erhalte.“ An Google richtete er sich mit den Worten: „Behebt das. Sofort.“
[mit Material von Donna Tam, News.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
2 Kommentare zu Sicherheitslücke ermöglicht Zugriff auf beliebige Facebook-Konten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
„Facebooks Authentifizierungsdienst OAuth“
OAuth ist kein Diesnt, sondern ein Standard.
Dem typischen Android User ist das egal, ob irgendjemand seine Daten sieht.
Vordergründig verteidigt er Android als das sicherere System, um dann in alternativen Stores kostenlose ’noname‘ Software zu beziehen, die ihm verspricht, sein Smartphone ‚abzusichern‘ – die aber für die Installation Admin Rechte erfordert und von der er aber nicht sicher sein kann, ob nicht gerade diese Software ihm Malware unterjubelt. Man hat dafür aber vermeintlich einen besseren Überblick über die Prozesse … so sie denn vom komprimittierten Tool angezeigt,und nicht ausgeblendet werden. ;-)
Gilt auch für jailbreaked iPhones. Für die wenigen ‚kostenlosen‘ Cydia Tools verzichtet man gerne auf Sicherheit, kotzt sich hinterher aber in jedem Forum darüber aus, wenn der Akku im Hintergrund durch diese ‚Apps‘ leergesaugt wird.
Aber Hauptsache, die App war billig. ;-)