ifun.de — Apple News seit 2001. 39 489 Artikel
   

Account-Übernahme durch iPhone und iPad: Facebook-Schwachstelle in Dritt-Apps

Artikel auf Mastodon teilen.
19 Kommentare 19

Ob sich die jetzt von Chilik Tamir entdeckte Facebook-Schwachstelle das Prädikat „Sicherheitslücke“ verdient hat, wollen wir aktuell noch dahingestellt lassen. Momentan macht die im unten eingebetteten Video demonstrierte Account-Übernahme eher den Eindruck, als hätten wir es mit schlampigen Implementierungen der Facebook-Autorisation zu tun, die eher den Entwickler der betroffenen Anwendungen als Facebook selbst anzulasten ist.

fatz-2

Bild: thehackernews

Dennoch, das Fundstück der Security-Experten von MetaIntell sollte zumindest erwähnt werden.

Im Kern geht es um folgendes: Dritt-Applikationen wie Viber, Spotify & Co., die euren Facebook-Account aus den iOS-Systemeinstellungen zur Au­then­ti­fi­zie­rung beim weltgrößten sozialen Netzwerk nutzen und euch so den komfortablen Login auf iPhone und iPad anbieten, scheinen die von Facebook-Ausgegebenen Zugangsschlüssel (sogenannte OAuth-Token) nicht immer ordentlich zu verstauen

Mehrere Dritt-Applikationen legen die Facebook-Zugangsdaten einfach an Stellen im iOS-Dateisystem ab, auf die mit Werkzeugen wie iExplorer und iFunbox zugegriffen werden kann.

Die Folgen: Bösewichte mit physischem Zugriff auf eure Geräte, können sich im schlechtesten Fall in euer Facebook-Konto einloggen, Nachrichten verfassen und Kommentare absetzen.

MetaIntell has identified that 71 of the top 100 free iOS apps use the Facebook SDK and are vulnerable, impacting the over 1.2 billion downloads of these apps. Of the top 100 Android apps, 31 utilize the Facebook SDK and therefore make vulnerable the over 100 billion downloads of these apps.

(Direkt-Link)

Facebook hat auf die Veröffentlichung wenig motiviert reagiert und will prüfen ob Möglichkeiten für einen besseren Schutz der Token in das Facebook SDK implementiert werden können.

On the Android side we’ve concluded that we will not be making any changes: we are comfortable with the level of security provided by the Android OS. – On the iOS side the team is exploring the possibility of moving the access token storage to the keychain in order to comply with best practices.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
04. Jul 2014 um 15:18 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    19 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Bedeutet das, das Android (an dieser Stelle, aber möglicherweise auch darüberhinaus) einen hohen Maß an Sicherheit gerecht wird, bzw. eine entsprechende Schwachstelle nicht gegeben ist, oder dass man von Android ohnehin nichts besseres gewohnt ist!? :P ;) :DDD

    • Nein, denn bei iOS sind es ein paar Dritt-Apps die die Tokens ungünstig ablegen, sodass man zugriff darauf bekommt. Bei Android wird das aber bei jedem Drittanbieter App der Fall sein durch das offene System und den möglichen Zugriff egal wo das Token abgelegt wird…

      • Auch Android hat ein Sandboxing-Mechanismus.

      • @goran der verfügt aber über sicherheitsmechanismen die ein 5 Jähriger überlisten kann ^^ ok vllt. bisschen übertrieben aber es ist ziemlich einfach

      • Aus einer regulären App heraus, ohne dass das Gerät gerootet ist?

      • „… bei iOS sind es ein paar Dritt-Apps die die Tokens ungünstig ablegen“
        Es betrifft alle, die das Facebook-SDK benutzen. Das Facebook-SDK legt die Tokens nicht in die KeyChain und damit „ungünstig“ ab.

      • Ich hab die Lösung: einfach von fakebook anmelden!! :D

  • Oh mein Gott, dann kann jemand Nachrichten in meinem Namen verfassen. Skandal.

    • Im Grunde sehe ich das genauso wie du, ABER gehe mal von dem Fall aus das dein iOS Gerät absichtlich geklaut wird um dir zu schaden, dann wäre es schon bedenklich weil Beleidigungen in deinem Namen zum Beispiel dir zugerechnet werden für die du dich dann eventuell sogar vor Gericht verantworten müsstest … Dann bekommt die Sicherheitslücke eine ganz andere Perspektive

      • Was?
        Also wenn jemand mein iOS Gerät klaut um mir zu schaden, braucht der auch diese Sicherheitlücke nicht. Dann hat er ja schon meinen eingelogten Account. Und den Diebstahl eines iDevice sollte der betroffene Recht schnell merken. Dann wird es gesperrt und die Passwörter aller abgelegten Accounts auf dem Gerät geändert.
        .
        Das ist eine eher hypothetische Sicherheitslücke.

    • Mal sehen, wie es deinem Arbeitgeber nach einem anonymen Tip gefällt, dass du ihn auf Facebook auf übelste beleidigst oder auf einmal mehreren ultrarechten Gruppen angehörst. Aber es sind ja nur Nachrichten …

  • Es gibt tatsächlich Leute, die ihren Facebookaccount für Anmeldungen nutzen??
    Das ist wahrscheinlich die eigentliche Sicherheitslücke hinter dem Artikel

  • Bösewichte mit physischem Zugriff auf eure Geräte…
    können (fast) alle Apps in meinem Namen nutzen, bei FB posten, SMS verschicken oder Meine Kontakte anrufen.
    Oder ist mir da was entgangen?

    • ja, solange an. hier geht es darum, dass jemand innerhalb von fünf minuten – also auch durch kurzzeitiges ausleihen – deine login-daten übernehmen könnte.

      • Auch quatsch.
        Derjenige erhält nicht die Login-Daten!
        Er hat zugriff auf das Authentifizierungstoken, mit dessen Hilfe er bsw auf Facebook posten kann. Er hat aber keinen Zugriff auf den eigentlichen Facebook-Account!

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39489 Artikel in den vergangenen 8464 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven