Facebook-Sicherheitslücke in Android und iOS Apps

Bei zahlreichen Handy-Apps kann man sich ganz einfach mit seinem Facebook-Account anmelden: Die App erhält dann Daten wie den Namen oder die Email-Adresse direkt von Facebook, man muss nicht mehr alle Daten neu eingeben. Weil das so praktisch ist, sollen über 70% der 100 beliebtesten Apps für iPhone und iPad diese Anmelde-Funktion nutzen – bei Android sind es immerhin knapp 30% der 100 beliebtesten Apps.

» Facebook manipuliert News-Feed der Nutzer für Psychotest!

Laut der amerikanischen Sicherheitsfirma MetaIntell enthält das Entwickler-Pakat (SDK), mit der die Programmierer auf die Facebook-Funktionen zugreifen können, um die Anmelde-Funktion zu nutzen, aber eine Sicherheitslücke: Beim ersten Zugriff wird ein Software-Schlüssel gespeichert, damit man sich mit der App nicht jedes Mal neu bei Facebook anmelden muss. Dieser Schlüssel wird aber nicht verschlüsselt auf dem Handy gespeichert: Bekommt ein Hacker das Gerät in die Hände, soll er den Schlüssel und die Anmelde-Daten relativ einfach über einen angeschlossenen Computer auslesen können.

 
Wie das geht, zeigt dieses Demonstrations-Video:

 
Das Team von MetaIntell hat die Sicherheitslücke berreits im Mai entdeckt und an Facebook gemeldet – Facebook selbst hält die Sicherheitslücke aber zur Zeit für sehr theoretisch, da der Angreifer auch direkten Zugriff auf das Handy selbst brauche – und damit sehr wahrscheinlich über die gespeicherten Passwörter im Browser oder der Facebook App einen viel einfacheren Zugriff auf die Zugangsdaten bekommt: Einmal in Facebook angemeldet, hat man über die App oder den Browser vollen Zugriff auf die Facebook-Daten des Nutzers – das Passwort oder die Email-Adresse (um sich ein vergessenes Passwort zuschicken zu lassen) lassen sich aber auch so von einem Angreifer nur ändern, wenn er auch das aktuelle Passwort kennt.

» Tipp: Smartphone verloren: So ortet man sein iPhone oder Android-Handy