Sicherheitslücke beim mobilen Facebook Login oAuth: Die Anmeldung bei diversen iOS- und Android-Apps direkt über den eigenen Facebook-Account erscheint als sehr bequem. Er ist recht weit verbreitet: Von 31 der 100 beliebtesten Android-Apps wird das Login über OAuth angeboten, bei iOS sind es sogar 71. Leider birgt diese Art der Legitimierung per Facebook Sicherheitslücken. Dieser Redirect beim Login wurde bereits im Mai bekannt.

Jetzt hat die Sicherheitsfirma MetaIntell nochmals auf ein Sicherheitsproblem indirekten Login über Facebook hingewiesen. In einem Video wird demonstriert, wie leicht die unverschlüsselt gespeicherten Passwörter aus dem Smartphone ausgelesen werden können. Die Daten können genutzt werden, um den Facebook-Account zu kapern und der kopierte Zugangsschlüssel kann problemlos auf andere Geräte übertragen werden.

Lesetipp: Facebook-User empört über geheimes Psycho-Experiment

Die Sicherheitslücke befindet sich in Facebooks Software-Development-Kit. Die Anmelde-Funktion speichert den Software-Key beim ersten Zugriff unverschlüsselt als direkt lesbaren Text auf dem Handy. Metaintell hält die Lücke deshalb für schwerwiegend und hatte sie bereits im Mai an Facebook gemeldet, wo man sie aber als eher unerheblich einstufte. Ein Angreifer brauche den direkten Zugang zu einem Handy. Dann aber könne er über den direkten Zugriff auch über Passwörter im Browser Zugang erhalten.

Dennoch empfiehlt MetaIntell, auf die Nutzung des Facebook-Logins in anderen Apps wegen der Möglichkeit der schnellen, aber unberechtigten Zugriffs zu verzichten.