Sicherheitslücke im Facebook SDK

Am 7. Juli 2014 by Sven Finger

facebook-sdk-sicherheitsluecke

Die Medien berichten derzeit hysterisch von einer Sicherheitslücke im Facebook SDK. Facebook wird als Buhmann dargestellt, obwohl der Fehler bei den Entwicklern bzw. den Betriebssystemen iOS und Android liegt. FOCUS Online berichtet:

Haben Sie eine App installiert, bei der Sie sich mit Facebook anmelden müssen? Dann können Hacker auf Ihre Facebook-Daten zugreifen. [...]

So einfach können Unbefugte jedoch nicht an die Daten gelangen. Nach genauerem Lesen des Artikels wird die als äußerst dramatisch dargestellte Sicherheitslücke bereits unkritischer. Nun ist die Rede davon, dass die Hacker das Smartphone zunächst an einen Computer anschließen müssen, so FOCUS Online:

[...] Schließen Hacker Ihr Smartphone an einen Computer an, kann der Schlüssel recht schnell ausgelesen werden. [...] Der Hacker kann mit diesem Schlüssel auf dieselben Daten zugreifen, wie die ursprüngliche App. [...]

Besonders wichtig ist hierbei, dass Unbefugte mit dem sogenannten Access Token lediglich die gleichen Zugriffe haben, wie die authetifizierte Facebook Applikation. Mittels des Access Tokens können somit die ohnehin schon öffentlichen Daten von Facebook angefordert, sowie die E-Mail-Adresse und die Freundesliste eingesehen werden oder im ungünstigen Fall alle Profil-Informationen. Auch Aktionen könnten Hacker durchführen. So zum Beispiel das Veröffentlichen von Posts oder das Ändern von Benutzerinformationen. Je nach dem welche Rechte die iOS- oder Android-App von Facebook verlangt oder zur Funktionsweise benötigt.

In den Berichten wird ein besonderer Fakt ganz außen vorgelassen, welcher zumindest für Android zutrifft. Ohne die im Developer-Bericht von Facebook hinterlegten Key Hashes können keine Anfragen an Facebook gestellt werden. Somit müssen Hacker auch an diese Hashes gelangen, um sich als eine Android App ausgeben zu können. FOCUS Online erwartet die Behebung der Sicherheitslücke seitens Facebook:

Doch Facebook sieht darin kein Problem.

Als Web Developer sieht man darin allerdings auch kein Problem. Facebook übermittelt immerhin alle Informationen über eine starke SSL-Verschlüsselung an die iOS oder Android Apps. An dieser Stelle endet eben auch die Verantwortung von Facebook. Handlungsbedarf besteht einzig und alleine bei den Herstellern der Betriebssystemen. Diese müssen entsprechende Container für das Speichern von verschlüsselten Daten bereitstellen. Alternativ können Entwickler der Apps Workarounds integrieren, um das Access Token verschlüsselt zu speichern.

Laut MetaIntell nutzen 31 der beliebtesten 100 Android-Apps diese Anmeldemethode. Bei iOS sind es sogar 71. Damit sind vermutlich Millionen Accounts durch die Sicherheitslücke gefährdet. – FOCUS Online

Ob MetaIntell die Hersteller der angegebenen Facebook Applikationen nach der Art und Weise der Speicherung des Access Tokens gefragt hat, wird nirgends bestätigt. Ohne den Source Code der Apps einsehen zu können, kann die These der im Klartext gespeicherten Access Tokens nicht verifziert werden. Womöglich ist den Entwicklern der meisten Apps bewusst, dass das unverschlüsselte Speichern der Access Tokens sicherheitstechnische Bedenken in sich birgt und es wurden aus diesem Grund bereits Vorkehrungen dafür getroffen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


× drei = 27

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>