Logo von Security

Suche
Ronald Eikenberg 11

Account-Übernahme durch Lücke im Facebook-SDK

Durch eine Schwachstelle im Facebook-SDK für Android konnten speziell präparierte Apps ungefragt auf das Facebook-Konto des Smartphone-Besitzers zugreifen, wie der Entwickler David Poll festgestellt hat. Apps wie foursquare nutzen das SDK, um komfortabel etwa das Facebook-Profil auszulesen oder Fotos auf der Pinnwand des Nutzers zu veröffentlichen; dem muss der Nutzer normalerweise zustimmen.

Anzeige

Nach der Zustimmung erhält die App ein Accesstoken vom Facebook-Server, mit dem sie fortan die gewünschten Aktionen durchführen kann. Poll hat beobachtet, dass dass Facebook-SDK eine URL, die das Token enthält, nach der erfolgreichen Rechteerteilung in eine Logdatei auf dem Smartphone schreibt – auf die jede App zugreifen kann, der man bei der Installation das Recht "Vertrauliche Protokolldaten lesen" erteilt hat.

Da viele Android-Nutzer darauf konditioniert sind, alle Rechteabfragen ungesehen abzunicken, dürfte es einem Angreifer nicht schwerfallen, an die nötige Berechtigung zu kommen. Mit dem gestohlenen Accesstoken kann sich die eine speziell präparierte App die Rechte der zur zum Token gehörigen App zu eigen machen.

Poll hat die Schwachstelle schon Mitte Februar entdeckt und an Facebook gemeldet. Das Unternehmen reagierte auch prompt und entfernte die Codezeile, die für die Log-Ausgabe verantwortlich war, aus dem SDK-Code. Allerdings war das Problem damit noch lange nicht aus der Welt geschafft: Das Facebook-SDK wird von den App-Entwicklern in die Apps integriert. Damit die Apps nicht mehr ihr Accesstoken verraten, muss also jeder einzelne Entwickler seine Apps mit der fehlerbereinigten Version des SDKs ausstatten und das Update über den Google Play (ehemals Android Market) verteilen.

Facebook hat Poll daher um Verschwiegenheit gebeten, bis zumindest die Anbieter der wichtigsten Apps mit Facebook-Anbindung reagiert haben. Dies ist nach Meinung von Facebook in der Zwischenzeit geschehen. Auch wenn noch keine Apps bekannt sind, die durch die Lücke ungefragt auf Facebook zugegriffen haben, sollte man die Installation ausstehender Update besser umgehend nachholen; schließlich sind die Details nun jedermann zugänglich. (rei)

11 Kommentare

Themen:

Anzeige
  1. Die meisten Android-Virenscanner sind unsicher

    Android-Sicherheits-Apps sind unsicher

    Eigentlich sollte AV-Software das Smartphone vor Schadcode schützen. Wie Forscher nun festgestellt haben, weisen viele Virenjäger für Android allerdings selbst eklatante Sicherheitsmängel auf.

  2. Googles Smartphone-System: Android M heißt Marshmallow und trägt Nummer 6.0

    Android Marshmallow

    Google hat die finale Version des SDKs für Android M herausgebracht und nebenher zwei Details verraten: Diese Version wird Android 6.0 Marshmallow heißen.

  3. Android-Trojaner auf Amazon.de

    Android-Trojaner bei Amazon.de

    In Amazons App-Shop lauerte ein Schädling, der das Smartphone in eine Wanze verwandeln kann, indem er Kamera und Mikro anzapft. Er hat es gezielt auf deutschsprachige Nutzer abgesehen.

  4. Calendar Apps: Outlook integriert Wunderlist, Facebook und Evernote

    Calendar Apps: Outlook integriert Wunderlist, Facebook und Evernote

    Unter Android- und iOS-Systemen können Outlook-Nutzer künftig die Dienste Wunderlist, Facebook und Evernote direkt integrieren. Sie sollen so rechtzeitig an wichtige Termine erinnern, die ursprünglichen Apps ersetzen sie nicht.

  1. Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay?

  2. Smartphone-Schutz oder Entwicklerhonorar?

    Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay? Ein Kommentar von Veronika Szentpetery.

  3. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  1. Amazon führt in den USA einen Fotodruck-Dienst ein

    Amazon Prints

    Dass das Geschäft mit Fotodrucken sehr lukrativ sein kann, hat sich nun auch Online-Versandhändler Amazon gedacht und führt zunächst in den USA einen eigenen Print-Dienst ein.

  2. Manipulationen bei Lkw-Fahrtenschreibern immer ausgeklügelter

    Manipulationen bei Lkw-Fahrtenschreibern immer ausgeklügelter

    Lastwagenfahrer müssen regelmäßige Pausen machen, um mehr Sicherheit auf den Straßen zu gewährleisten. Bei Kontrollen fällt aber auf, dass viele Erfassungsgeräte manipuliert sind. Die Logistikbranche gibt sich verwundert.

  3. Samsung Galaxy Note 7: Umtauschprogramm geändert, Geräte werden direkt abgeholt

    Galaxy Note 7

    Nach den großen Problemen mit dem Austausch der Galaxy Note 7 reagiert Samsung und verspricht den betroffenen Kunden, die Geräte direkt an der Haustür zu tauschen. DHL hatte sich wegen gesetzlicher Vorschriften geweigert, alte Geräte zu transportieren.

  4. Vermarktung von Bewegungsdaten: Opt-out-Portal von Telefónica sorgt für Verunsicherung

    Vermarktung von Bewegungsdaten: Opt-out-Portal von Telefonica sorgt für Verunsicherung

    Telefónica bietet ein Portal, mit dem Kunden der Vermarktung ihrer Bewegungsdaten widersprechen können. Verwirrenderweise kann man dort auch die Rufnummern netzfremder Mobilfunkanbieter eingeben und die Teilnahme an der Datenvermarktung verwalten.

Anzeige