iPhone und Android betroffen

Facebook-Sicherheitslücke bei oAuth

Viele iOS- und Android-Apps benutzen ein Login über Facebooks OAuth-Legitimierung. Die Sicherheitsfirma MetaIntell warnt vor dieser bereits seit Mai bekannten Sicherheitslücke, die von Facebook noch nicht bearbeitet wurde.

News
VG Wort Pixel
OAuth wird gehackt
Neuer Sicherheitsbug beim Einloggen über OpenID oder oAuth
© Screenshot: WEKA, MetaIntell @ youtube.com

Sicherheitslücke beim mobilen Facebook Login oAuth: Die Anmeldung bei diversen iOS- und Android-Apps direkt über den eigenen Facebook-Account erscheint als sehr bequem. Er ist recht weit verbreitet: Von 31 der 100 beliebtesten Android-Apps wird das Login über OAuth angeboten, bei iOS sind es sogar 71. Leider birgt diese Art der Legitimierung per Facebook Sicherheitslücken. Dieser Redirect beim Login wurde bereits im Mai bekannt.

Jetzt hat die Sicherheitsfirma MetaIntell nochmals auf ein Sicherheitsproblem indirekten Login über Facebook hingewiesen. In einem Video wird demonstriert, wie leicht die unverschlüsselt gespeicherten Passwörter aus dem Smartphone ausgelesen werden können. Die Daten können genutzt werden, um den Facebook-Account zu kapern und der kopierte Zugangsschlüssel kann problemlos auf andere Geräte übertragen werden.

Lesetipp: Facebook-User empört über geheimes Psycho-Experiment

Die Sicherheitslücke befindet sich in Facebooks Software-Development-Kit. Die Anmelde-Funktion speichert den Software-Key beim ersten Zugriff unverschlüsselt als direkt lesbaren Text auf dem Handy. Metaintell hält die Lücke deshalb für schwerwiegend und hatte sie bereits im Mai an Facebook gemeldet, wo man sie aber als eher unerheblich einstufte. Ein Angreifer brauche den direkten Zugang zu einem Handy. Dann aber könne er über den direkten Zugriff auch über Passwörter im Browser Zugang erhalten.

Dennoch empfiehlt MetaIntell, auf die Nutzung des Facebook-Logins in anderen Apps wegen der Möglichkeit der schnellen, aber unberechtigten Zugriffs zu verzichten.

7.7.2014 von Joachim Drescher

Weiter zur Startseite  

Mehr zum Thema

Facebook-Neulinge bekommen bessere Voreinstellungen für mehr Datenschutz.

Automatischer Datenschutz

Facebook - Privatsphäre-Voreinstellungen für Neulinge…

Neue Facebook-Nutzer müssen nicht mehr fürchten, dass Einträge von allen Nutzern gelesen werden können. Facebook ändert die Voreinstellungen für…

Die iPhone-App von Instagram hat eine Sicherheitlücke.

iPhone-App

Instagram mit Sicherheitslücke

Ein Hacker hat bei Instagram eine Sicherheitslücke gefunden. Nach einer abgelehnten Belohnung droht er Facebook mit einem Angriff, um den Druck zu…

Die Initiative

Facebook-Datenschutz

Bereits 20.000 Unterstützer für Sammelklage…

Die Initiative Europe-v-Facebook ist rasant gewachsen. Am 6. August wurden bereits über 20.000 Teilnehmer für die Sammelklage gegen Facebook gelistet.

Betrügerm erstellen Blogs mit fremden Inhalten und ähnlichen Domains.

Raubkopierer imitieren deutsche Blogger

Betrüger kopieren Blogs für eigene Werbeeinnahmen

Content-Klau in der deutschen Blogosphäre: Um mit neuen Webseiten Werbeeinnahmen zu generieren, veröffentlichen dreiste Raubkopierer fremde…

Facebook-Logo

Verbraucherzentrale reicht's

Facebook wegen neuer Nutzungsbedingungen abgemahnt

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt Facebook…