Logo von Security

Suche
11

Account-Übernahme durch Lücke im Facebook-SDK

Durch eine Schwachstelle im Facebook-SDK für Android konnten speziell präparierte Apps ungefragt auf das Facebook-Konto des Smartphone-Besitzers zugreifen, wie der Entwickler David Poll festgestellt hat. Apps wie foursquare nutzen das SDK, um komfortabel etwa das Facebook-Profil auszulesen oder Fotos auf der Pinnwand des Nutzers zu veröffentlichen; dem muss der Nutzer normalerweise zustimmen.

Anzeige

Nach der Zustimmung erhält die App ein Accesstoken vom Facebook-Server, mit dem sie fortan die gewünschten Aktionen durchführen kann. Poll hat beobachtet, dass dass Facebook-SDK eine URL, die das Token enthält, nach der erfolgreichen Rechteerteilung in eine Logdatei auf dem Smartphone schreibt – auf die jede App zugreifen kann, der man bei der Installation das Recht "Vertrauliche Protokolldaten lesen" erteilt hat.

Da viele Android-Nutzer darauf konditioniert sind, alle Rechteabfragen ungesehen abzunicken, dürfte es einem Angreifer nicht schwerfallen, an die nötige Berechtigung zu kommen. Mit dem gestohlenen Accesstoken kann sich die eine speziell präparierte App die Rechte der zur zum Token gehörigen App zu eigen machen.

Poll hat die Schwachstelle schon Mitte Februar entdeckt und an Facebook gemeldet. Das Unternehmen reagierte auch prompt und entfernte die Codezeile, die für die Log-Ausgabe verantwortlich war, aus dem SDK-Code. Allerdings war das Problem damit noch lange nicht aus der Welt geschafft: Das Facebook-SDK wird von den App-Entwicklern in die Apps integriert. Damit die Apps nicht mehr ihr Accesstoken verraten, muss also jeder einzelne Entwickler seine Apps mit der fehlerbereinigten Version des SDKs ausstatten und das Update über den Google Play (ehemals Android Market) verteilen.

Facebook hat Poll daher um Verschwiegenheit gebeten, bis zumindest die Anbieter der wichtigsten Apps mit Facebook-Anbindung reagiert haben. Dies ist nach Meinung von Facebook in der Zwischenzeit geschehen. Auch wenn noch keine Apps bekannt sind, die durch die Lücke ungefragt auf Facebook zugegriffen haben, sollte man die Installation ausstehender Update besser umgehend nachholen; schließlich sind die Details nun jedermann zugänglich. (rei)

11 Kommentare

Themen:

  1. Sicherheitsloch im Dropbox-SDK für Android gestopft

    Sicherheitsloch im Dropbox-SDK für Android gestopft

    Durch eine Schwachstelle können Angreifer Apps mit Dropbox-Anbindung an ihren eigenen Dropbox-Account koppeln. Alle fortan hochgeladenen Dateien landen dann in der Dropbox des Angreifers.

  2. 69 Prozent der beliebtesten Android-Apps funken im Klartext

    Forschungsergebnisse

    Bei einer Untersuchung von 10,000 Android-Apps haben Forscher herausgefunden, dass die Mehrzahl ihre Datenverbindungen gar nicht verschlüsselt und weitere 26 Prozent SSL so einsetzen, dass die Verbindung angreifbar ist.

  3. Tausende Android-Apps geben geheime Schlüssel preis

    PlayDrone-Architektur

    Viele Android-Programme betten geheime Zugangsschlüssel direkt in ihren Quellcode ein. Ein Angreifer kann diese nutzen, um private Daten der App-Nutzer zu erbeuten und im schlimmsten Fall die Server-Infrastruktur der Entwickler übernehmen.

  1. Smartphone-Underdogs

    Ubuntu for phones soll auf vielen aktuellen Smartphones laufen – zwar ohne Android-Apps, dafür aber mit Web Apps in HTML5 oder nativ in C/C++ oder Java-Script. Und: Ubuntu-Handys sollen sich in Desktop-PCs umbauen lassen.

  2. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  3. Flexible und sichere Internetdienste mit OAuth 2.0

    Explosionsartig stieg in den letzten Jahren die mobile Nutzung, aber auch Spielkonsolen und Unterhaltungsgeräte sind zunehmend vernetzt. Gefragt sind Techniken zum sicheren Zugriff auf solche Daten. Das Protokoll OAuth 2.0 empfiehlt sich als grundlegender Baustein, da es die Implementierung flexibler und sicherer Internetdienste ermöglicht und dem Benutzer jederzeit die Kontrolle über seine Daten gibt.

  1. Selbstversuch: Raspberry Pi 2 als Office-PC

    Ein Desktop-Rechner für knapp 40 Euro? Wer Mails lesen, im Internet surfen und Briefe schreiben will, braucht tatsächlich keinen teuren Computer, der Raspberry Pi 2 tuts auch.

  2. ESA-Kometensonde Rosetta: Entstehung einer Staubfontäne fotografiert

    Kometensonde Rosetta: Entstehung einer Staubfontäne fotografiert

    Rein zufällig hat die ESA-Sonde Rosetta den Ausbruch einer Staubfontäne auf ihrem Kometen 67P/Tschurjumow-Gerassimenko beobachtet. Das sei noch nie zuvor gelungen, jubeln die Forscher. Sie erhoffen sich weitere Erkenntnisse.

  3. Precrime auf dem Polizeikongress: Prediticve Policing ausweiten

    Polizeikongress: Prediticve Policing ausweiten

    Innenminister Thomas de Maiziére war verhindert, doch das störte die 300 Delegierten auf dem Bundeskongress der deutschen Polizeigewerkschaft nicht. Sie wählten ihren Vorsitzenden Rainer Wendt mit 98,5 Prozent der Stimmen wieder.

  4. FPGA-Computer MiST simuliert Amiga & Co.

    FPGA-Boards wie MiST bilden einen guten Kompromiss für diejenigen, die sich nicht mit Mätzchen ihrer alten Hardware herumschlagen wollen, aber auch keinen Emulator einsetzen möchten.

Anzeige