iPhone und Android betroffen
Facebook-Sicherheitslücke bei oAuth
Viele iOS- und Android-Apps benutzen ein Login über Facebooks OAuth-Legitimierung. Die Sicherheitsfirma MetaIntell warnt vor dieser bereits seit Mai bekannten Sicherheitslücke, die von Facebook noch nicht bearbeitet wurde.
Sicherheitslücke beim mobilen Facebook Login oAuth: Die Anmeldung bei diversen iOS- und Android-Apps direkt über den eigenen Facebook-Account erscheint als sehr bequem. Er ist recht weit verbreitet: Von 31 der 100 beliebtesten Android-Apps wird das Login über OAuth angeboten, bei iOS sind es sogar 71. Leider birgt diese Art der Legitimierung per Facebook Sicherheitslücken. Dieser Redirect beim Login wurde bereits im Mai bekannt.
Jetzt hat die Sicherheitsfirma MetaIntell nochmals auf ein Sicherheitsproblem indirekten Login über Facebook hingewiesen. In einem Video wird demonstriert, wie leicht die unverschlüsselt gespeicherten Passwörter aus dem Smartphone ausgelesen werden können. Die Daten können genutzt werden, um den Facebook-Account zu kapern und der kopierte Zugangsschlüssel kann problemlos auf andere Geräte übertragen werden.
Lesetipp: Facebook-User empört über geheimes Psycho-Experiment
Die Sicherheitslücke befindet sich in Facebooks Software-Development-Kit. Die Anmelde-Funktion speichert den Software-Key beim ersten Zugriff unverschlüsselt als direkt lesbaren Text auf dem Handy. Metaintell hält die Lücke deshalb für schwerwiegend und hatte sie bereits im Mai an Facebook gemeldet, wo man sie aber als eher unerheblich einstufte. Ein Angreifer brauche den direkten Zugang zu einem Handy. Dann aber könne er über den direkten Zugriff auch über Passwörter im Browser Zugang erhalten.
Dennoch empfiehlt MetaIntell, auf die Nutzung des Facebook-Logins in anderen Apps wegen der Möglichkeit der schnellen, aber unberechtigten Zugriffs zu verzichten.
Weiter zur Startseite
