iPhone und Android betroffen

Facebook-Sicherheitslücke bei oAuth

Viele iOS- und Android-Apps benutzen ein Login über Facebooks OAuth-Legitimierung. Die Sicherheitsfirma MetaIntell warnt vor dieser bereits seit Mai bekannten Sicherheitslücke, die von Facebook noch nicht bearbeitet wurde.

© Screenshot: WEKA, MetaIntell @ youtube.com

Neuer Sicherheitsbug beim Einloggen über OpenID oder oAuth

Sicherheitslücke beim mobilen Facebook Login oAuth: Die Anmeldung bei diversen iOS- und Android-Apps direkt über den eigenen Facebook-Account erscheint als sehr bequem. Er ist recht weit verbreitet: Von 31 der 100 beliebtesten Android-Apps wird das Login über OAuth angeboten, bei iOS sind es sogar 71. Leider birgt diese Art der Legitimierung per Facebook Sicherheitslücken. Dieser Redirect beim Login wurde bereits im Mai bekannt.

Jetzt hat die Sicherheitsfirma MetaIntell nochmals auf ein Sicherheitsproblem indirekten Login über Facebook hingewiesen. In einem Video wird demonstriert, wie leicht die unverschlüsselt gespeicherten Passwörter aus dem Smartphone ausgelesen werden können. Die Daten können genutzt werden, um den Facebook-Account zu kapern und der kopierte Zugangsschlüssel kann problemlos auf andere Geräte übertragen werden.

Lesetipp: Facebook-User empört über geheimes Psycho-Experiment

Die Sicherheitslücke befindet sich in Facebooks Software-Development-Kit. Die Anmelde-Funktion speichert den Software-Key beim ersten Zugriff unverschlüsselt als direkt lesbaren Text auf dem Handy. Metaintell hält die Lücke deshalb für schwerwiegend und hatte sie bereits im Mai an Facebook gemeldet, wo man sie aber als eher unerheblich einstufte. Ein Angreifer brauche den direkten Zugang zu einem Handy. Dann aber könne er über den direkten Zugriff auch über Passwörter im Browser Zugang erhalten.

Dennoch empfiehlt MetaIntell, auf die Nutzung des Facebook-Logins in anderen Apps wegen der Möglichkeit der schnellen, aber unberechtigten Zugriffs zu verzichten.

Mehr zum Thema

iPhone-App

Ein Hacker hat bei Instagram eine Sicherheitslücke gefunden. Nach einer abgelehnten Belohnung droht er Facebook mit einem Angriff, um den Druck zu…
Facebook-Datenschutz

Die Initiative Europe-v-Facebook ist rasant gewachsen. Am 6. August wurden bereits über 20.000 Teilnehmer für die Sammelklage gegen Facebook gelistet.
Raubkopierer imitieren deutsche Blogger

Content-Klau in der deutschen Blogosphäre: Um mit neuen Webseiten Werbeeinnahmen zu generieren, veröffentlichen dreiste Raubkopierer fremde…
Soziales Netzwerk

Messenger, Chat oder Reddit-Klon? Facebook arbeitet angeblich an einer eigenständigen App zur anonymen Kommunikation.
Verbraucherzentrale reicht's

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt Facebook…