12.04.2012, 14:35

Benjamin Schischka

Sicherheitslücke

Android-App „FacebookThief“ klaut Facebook-Zugang

FacebookThief nutzt Sicherheitsleck ©iStockphoto.com/yuri_arcurs

Der Entwickler David Poll hat eine schwere Sicherheitslücke in Android gefunden. Seine App „FacebookThief“ nutzt die Lücke und klaut den Facebook-Zugang.
Apps, die sich mit Facebook verknüpfen (etwa Foursquare), bekommen von Facebook einen Token. Das ist eine lange Kombination aus Zahlen und Buchstaben, die den Zugriff auf Facebook authentifiziert – natürlich erst, nachdem der User zugestimmt hat. Quasi ein Schlüssel für die App, mit dem sie Zugriff auf Facebook erhält. Soweit gibt es kein Problem. Das Problem ist, dass das Facebook-SDK den Token unverschlüsselt auf dem Smartphone-Speicher ablegt. Präparierte Apps könnten den Token, der nicht für sie bestimmt ist, auslesen und missbrauchen. Die einzige Bedingung zum Auslesen des Tokens sei, so Poll, die Rechtevergabe von „Vertrauliche Protokolldaten lesen“.

So klaut der FacebookThief den Zugang zu Facebook

Zum Beweis der Lücke hat David Poll nun eine solche präparierte App namens „FacebookThief“ (deutsch: Facebook-Dieb) programmiert. In weniger als 20 Code-Zeilen, verspricht Poll, hätte er sich gegenüber anderen Apps als jeder beliebige Facebook-User ausgeben können. Der „FacebookThief“ klaut dazu einfach die unverschlüsselten Tokens, die vom User authorisierte Apps verwenden, um sich mit Facebook verknüpfen zu können. David Poll hat die App natürlich nicht veröffentlicht.
David Poll hat die Lücke schon im Februar entdeckt und Facebook gemeldet. Facebook habe schnell reagiert, sagt Poll, und der transparenten Speicherung einen Riegel vorgeschoben. Allerdings ist nicht nur Facebook in der Pflicht – und deshalb habe Poll mit der Veröffentlichung der Schwachstelle bis jetzt gewartet: Das SDK wird von App-Entwicklern in die Apps integriert, also müssen die Entwickler Updates ihrer Apps inklusive aktualisiertem Facebook-SDK bereitstellen. Das sei nun bei den wichtigsten Apps geschehen, soll Facebook Poll mitgeteilt haben.

So schützen Sie sich vor Facebook-Dieben

Bei weniger verbreiteten Apps besteht aber durchaus die Möglichkeit, dass sie noch ungeschützt sind. Poll gibt darum folgende Tipps: Wenn Sie App-Updates ausstehen haben, sollten Sie diese nachholen. Wenig vertrauenswürdige Apps sollten Sie entfernen. Bislang gebe es keinen Hinweis darauf, dass Hacker die Schwachstelle bereits ausgenutzt hätten, beruhigt Poll. Der potentielle Schaden sollte dennoch zur Vorsicht mahnen. Seien Sie bei Apps, die "Vertrauliche Protokolldaten lesen" wollen, besonders vorsichtig!
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1434226
Content Management by InterRed