Logo von Security

Suche
preisvergleich_weiss

Recherche in 1.515.324 Produkten

Ronald Eikenberg 11

Account-Übernahme durch Lücke im Facebook-SDK

Durch eine Schwachstelle im Facebook-SDK für Android konnten speziell präparierte Apps ungefragt auf das Facebook-Konto des Smartphone-Besitzers zugreifen, wie der Entwickler David Poll festgestellt hat. Apps wie foursquare nutzen das SDK, um komfortabel etwa das Facebook-Profil auszulesen oder Fotos auf der Pinnwand des Nutzers zu veröffentlichen; dem muss der Nutzer normalerweise zustimmen.

Anzeige

Nach der Zustimmung erhält die App ein Accesstoken vom Facebook-Server, mit dem sie fortan die gewünschten Aktionen durchführen kann. Poll hat beobachtet, dass dass Facebook-SDK eine URL, die das Token enthält, nach der erfolgreichen Rechteerteilung in eine Logdatei auf dem Smartphone schreibt – auf die jede App zugreifen kann, der man bei der Installation das Recht "Vertrauliche Protokolldaten lesen" erteilt hat.

Da viele Android-Nutzer darauf konditioniert sind, alle Rechteabfragen ungesehen abzunicken, dürfte es einem Angreifer nicht schwerfallen, an die nötige Berechtigung zu kommen. Mit dem gestohlenen Accesstoken kann sich die eine speziell präparierte App die Rechte der zur zum Token gehörigen App zu eigen machen.

Poll hat die Schwachstelle schon Mitte Februar entdeckt und an Facebook gemeldet. Das Unternehmen reagierte auch prompt und entfernte die Codezeile, die für die Log-Ausgabe verantwortlich war, aus dem SDK-Code. Allerdings war das Problem damit noch lange nicht aus der Welt geschafft: Das Facebook-SDK wird von den App-Entwicklern in die Apps integriert. Damit die Apps nicht mehr ihr Accesstoken verraten, muss also jeder einzelne Entwickler seine Apps mit der fehlerbereinigten Version des SDKs ausstatten und das Update über den Google Play (ehemals Android Market) verteilen.

Facebook hat Poll daher um Verschwiegenheit gebeten, bis zumindest die Anbieter der wichtigsten Apps mit Facebook-Anbindung reagiert haben. Dies ist nach Meinung von Facebook in der Zwischenzeit geschehen. Auch wenn noch keine Apps bekannt sind, die durch die Lücke ungefragt auf Facebook zugegriffen haben, sollte man die Installation ausstehender Update besser umgehend nachholen; schließlich sind die Details nun jedermann zugänglich. (rei)

11 Kommentare

Themen:

Anzeige
  1. Die meisten Android-Virenscanner sind unsicher

    Android-Sicherheits-Apps sind unsicher

    Eigentlich sollte AV-Software das Smartphone vor Schadcode schützen. Wie Forscher nun festgestellt haben, weisen viele Virenjäger für Android allerdings selbst eklatante Sicherheitsmängel auf.

  2. Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

  3. Android-Trojaner auf Amazon.de

    Android-Trojaner bei Amazon.de

    In Amazons App-Shop lauerte ein Schädling, der das Smartphone in eine Wanze verwandeln kann, indem er Kamera und Mikro anzapft. Er hat es gezielt auf deutschsprachige Nutzer abgesehen.

  4. Knifflig, aber möglich: Sicherheitsforscher hacken Tesla-App und starten Auto

    Knifflig, aber möglich: Sicherheitsforscher hacken Tesla-App und starten Auto

    Offensichtlich hat Tesla seine Auto-App nicht optimal abgesichert: Sicherheitsforscher konnten genügend Infos abziehen, um einen Wagen zu öffnen und damit wegzufahren. Damit das klappt, müssen aber einige Voraussetzungen erfüllt werden.

  1. Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay?

  2. Smartphone-Schutz oder Entwicklerhonorar?

    Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay? Ein Kommentar von Veronika Szentpetery.

  3. Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Bei Progressive Web Apps handelt es sich um Webanwendungen, die sich ähnlich wie ihre nativen Gegenstücke anfühlen. Davon kann insbesondere die App-Programmierung profitieren.

  1. Großstörung bei der Telekom: Was wirklich geschah

    Telekom-Router-Ausfall: Speedports nicht anfällig für TR-069-Exploit

    Ein Sicherheitsexperte hat die Reaktion eines der anfälligen Speedport-Modelle analysiert und kommt zu einer überraschenden Erkenntnis: Die Geräte waren gar nicht anfällig für die TR-069-Sicherheitslücke.

  2. Billigauto-Erfolg in Indien: Renault Kwid

    Woran VW konsequent scheitert, gelingt Renault: Mit dem Billigwagen Kwid haben die Franzosen einen Coup auf dem indischen Automarkt gelandet. Das Mini-SUV fährt sich erstaunlich erwachsen

  3. Glasfaserausbau: Mit Microtrenching kommt Fibre to the Farm

    Glasfaserausbau: Mit Microtrenching kommt Fibre to the Farm

    Unitymedia baut in Südbaden sein Netz auch im ländlichen Raum aus. Mit einem schonenden Verlegeverfahren wird die Glasfaser bis ins Haus gelegt – und auf den Bauernhof.

  4. AirDroid-App gefährdet potenziell Millionen Android-Nutzer

    AirDroid-App gefährdet potenziell Millionen Android-Nutzer

    Wer die Fernwartungs-App AirDroid mit einem Android-Endgerät etwa in einem öffentlichen WLAN nutzt, kann Angreifern Tür und Tor öffnen.

Anzeige