iPhone und Android betroffen

Facebook-Sicherheitslücke bei oAuth

Viele iOS- und Android-Apps benutzen ein Login über Facebooks OAuth-Legitimierung. Die Sicherheitsfirma MetaIntell warnt vor dieser bereits seit Mai bekannten Sicherheitslücke, die von Facebook noch nicht bearbeitet wurde.

OAuth wird gehackt

© Screenshot: WEKA, MetaIntell @ youtube.com

Neuer Sicherheitsbug beim Einloggen über OpenID oder oAuth

Sicherheitslücke beim mobilen Facebook Login oAuth: Die Anmeldung bei diversen iOS- und Android-Apps direkt über den eigenen Facebook-Account erscheint als sehr bequem. Er ist recht weit verbreitet: Von 31 der 100 beliebtesten Android-Apps wird das Login über OAuth angeboten, bei iOS sind es sogar 71. Leider birgt diese Art der Legitimierung per Facebook Sicherheitslücken. Dieser Redirect beim Login wurde bereits im Mai bekannt.

Jetzt hat die Sicherheitsfirma MetaIntell nochmals auf ein Sicherheitsproblem indirekten Login über Facebook hingewiesen. In einem Video wird demonstriert, wie leicht die unverschlüsselt gespeicherten Passwörter aus dem Smartphone ausgelesen werden können. Die Daten können genutzt werden, um den Facebook-Account zu kapern und der kopierte Zugangsschlüssel kann problemlos auf andere Geräte übertragen werden.

Lesetipp: Facebook-User empört über geheimes Psycho-Experiment

Die Sicherheitslücke befindet sich in Facebooks Software-Development-Kit. Die Anmelde-Funktion speichert den Software-Key beim ersten Zugriff unverschlüsselt als direkt lesbaren Text auf dem Handy. Metaintell hält die Lücke deshalb für schwerwiegend und hatte sie bereits im Mai an Facebook gemeldet, wo man sie aber als eher unerheblich einstufte. Ein Angreifer brauche den direkten Zugang zu einem Handy. Dann aber könne er über den direkten Zugriff auch über Passwörter im Browser Zugang erhalten.

Dennoch empfiehlt MetaIntell, auf die Nutzung des Facebook-Logins in anderen Apps wegen der Möglichkeit der schnellen, aber unberechtigten Zugriffs zu verzichten.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…