Sicherheitslücke

Android-App „FacebookThief“ klaut Facebook-Zugang

Donnerstag den 12.04.2012 um 14:35 Uhr

von Benjamin Schischka

FacebookThief nutzt Sicherheitsleck
Vergrößern FacebookThief nutzt Sicherheitsleck
© iStockphoto.com/yuri_arcurs
Der Entwickler David Poll hat eine schwere Sicherheitslücke in Android gefunden. Seine App „FacebookThief“ nutzt die Lücke und klaut den Facebook-Zugang.
Apps, die sich mit Facebook verknüpfen (etwa Foursquare), bekommen von Facebook einen Token. Das ist eine lange Kombination aus Zahlen und Buchstaben, die den Zugriff auf Facebook authentifiziert – natürlich erst, nachdem der User zugestimmt hat. Quasi ein Schlüssel für die App, mit dem sie Zugriff auf Facebook erhält. Soweit gibt es kein Problem. Das Problem ist, dass das Facebook-SDK den Token unverschlüsselt auf dem Smartphone-Speicher ablegt. Präparierte Apps könnten den Token, der nicht für sie bestimmt ist, auslesen und missbrauchen. Die einzige Bedingung zum Auslesen des Tokens sei, so Poll , die Rechtevergabe von „Vertrauliche Protokolldaten lesen“.

So klaut der FacebookThief den Zugang zu Facebook

Zum Beweis der Lücke hat David Poll nun eine solche präparierte App namens „FacebookThief“ (deutsch: Facebook-Dieb) programmiert. In weniger als 20 Code-Zeilen, verspricht Poll, hätte er sich gegenüber anderen Apps als jeder beliebige Facebook-User ausgeben können. Der „FacebookThief“ klaut dazu einfach die unverschlüsselten Tokens, die vom User authorisierte Apps verwenden, um sich mit Facebook verknüpfen zu können. David Poll hat die App natürlich nicht veröffentlicht.

David Poll hat die Lücke schon im Februar entdeckt und Facebook gemeldet. Facebook habe schnell reagiert, sagt Poll, und der transparenten Speicherung einen Riegel vorgeschoben. Allerdings ist nicht nur Facebook in der Pflicht – und deshalb habe Poll mit der Veröffentlichung der Schwachstelle bis jetzt gewartet: Das SDK wird von App-Entwicklern in die Apps integriert, also müssen die Entwickler Updates ihrer Apps inklusive aktualisiertem Facebook-SDK bereitstellen. Das sei nun bei den wichtigsten Apps geschehen, soll Facebook Poll mitgeteilt haben.

So schützen Sie sich vor Facebook-Dieben

Bei weniger verbreiteten Apps besteht aber durchaus die Möglichkeit, dass sie noch ungeschützt sind. Poll gibt darum folgende Tipps: Wenn Sie App-Updates ausstehen haben, sollten Sie diese nachholen. Wenig vertrauenswürdige Apps sollten Sie entfernen. Bislang gebe es keinen Hinweis darauf, dass Hacker die Schwachstelle bereits ausgenutzt hätten, beruhigt Poll. Der potentielle Schaden sollte dennoch zur Vorsicht mahnen. Seien Sie bei Apps, die "Vertrauliche Protokolldaten lesen" wollen, besonders vorsichtig!

Donnerstag den 12.04.2012 um 14:35 Uhr

von Benjamin Schischka

Kommentieren Kommentare zu diesem Artikel (0)
1434226