Logo von Security

Suche
11

Account-Übernahme durch Lücke im Facebook-SDK

Durch eine Schwachstelle im Facebook-SDK für Android konnten speziell präparierte Apps ungefragt auf das Facebook-Konto des Smartphone-Besitzers zugreifen, wie der Entwickler David Poll festgestellt hat. Apps wie foursquare nutzen das SDK, um komfortabel etwa das Facebook-Profil auszulesen oder Fotos auf der Pinnwand des Nutzers zu veröffentlichen; dem muss der Nutzer normalerweise zustimmen.

Anzeige

Nach der Zustimmung erhält die App ein Accesstoken vom Facebook-Server, mit dem sie fortan die gewünschten Aktionen durchführen kann. Poll hat beobachtet, dass dass Facebook-SDK eine URL, die das Token enthält, nach der erfolgreichen Rechteerteilung in eine Logdatei auf dem Smartphone schreibt – auf die jede App zugreifen kann, der man bei der Installation das Recht "Vertrauliche Protokolldaten lesen" erteilt hat.

Da viele Android-Nutzer darauf konditioniert sind, alle Rechteabfragen ungesehen abzunicken, dürfte es einem Angreifer nicht schwerfallen, an die nötige Berechtigung zu kommen. Mit dem gestohlenen Accesstoken kann sich die eine speziell präparierte App die Rechte der zur zum Token gehörigen App zu eigen machen.

Poll hat die Schwachstelle schon Mitte Februar entdeckt und an Facebook gemeldet. Das Unternehmen reagierte auch prompt und entfernte die Codezeile, die für die Log-Ausgabe verantwortlich war, aus dem SDK-Code. Allerdings war das Problem damit noch lange nicht aus der Welt geschafft: Das Facebook-SDK wird von den App-Entwicklern in die Apps integriert. Damit die Apps nicht mehr ihr Accesstoken verraten, muss also jeder einzelne Entwickler seine Apps mit der fehlerbereinigten Version des SDKs ausstatten und das Update über den Google Play (ehemals Android Market) verteilen.

Facebook hat Poll daher um Verschwiegenheit gebeten, bis zumindest die Anbieter der wichtigsten Apps mit Facebook-Anbindung reagiert haben. Dies ist nach Meinung von Facebook in der Zwischenzeit geschehen. Auch wenn noch keine Apps bekannt sind, die durch die Lücke ungefragt auf Facebook zugegriffen haben, sollte man die Installation ausstehender Update besser umgehend nachholen; schließlich sind die Details nun jedermann zugänglich. (rei)

11 Kommentare

  1. Facebook bringt eigene App für Gruppen-Funktion heraus

    Facebook bringt eigene App für Gruppen-Funktion heraus

    Seit einiger Zeit setzt das Netzwerk immer mehr darauf, für einzelne Funktionen eigene Apps zu bauen. Die neueste Anwendung widmet sich den Facebook-Gruppen.

  2. Facebook-App soll künftig vor Anrufen nachfragen

    Facebook-App soll künftig vor Anrufen nachfragen

    Facebook will eine Schwachstelle in der iPhone-App schließen, über die sich ungewollte Anrufe auslösen lassen. Weitere Apps sind von dem Problem ebenfalls betroffen.

  3. UMTS-Stick mit SMS-Falle

    UMTS-Stick mit SMS-Falle

    In dem verbreiteten Surfstick E303 von Huawei klafft offenbar ein Sicherheitsloch, das seinen Nutzer teuer zu stehen kommen kann. Es erlaubt Webseiten, ungefragt beliebige SMS-Nachrichten zu verschicken.

  4. Facebook veröffentlicht App-Animations-Tool als Open Source

    Facebook veröffentlicht App-Animations-Tool als Open Source

    Die Pop genannte Software soll Entwicklern dabei helfen, realistische Animationen in ihre iOS- und OS-X-Apps zu integrieren. Facebook setzt das Tool für Paper ein.

Anzeige