Logo von Security

Suche
Ronald Eikenberg 11

Account-Übernahme durch Lücke im Facebook-SDK

Durch eine Schwachstelle im Facebook-SDK für Android konnten speziell präparierte Apps ungefragt auf das Facebook-Konto des Smartphone-Besitzers zugreifen, wie der Entwickler David Poll festgestellt hat. Apps wie foursquare nutzen das SDK, um komfortabel etwa das Facebook-Profil auszulesen oder Fotos auf der Pinnwand des Nutzers zu veröffentlichen; dem muss der Nutzer normalerweise zustimmen.

Anzeige

Nach der Zustimmung erhält die App ein Accesstoken vom Facebook-Server, mit dem sie fortan die gewünschten Aktionen durchführen kann. Poll hat beobachtet, dass dass Facebook-SDK eine URL, die das Token enthält, nach der erfolgreichen Rechteerteilung in eine Logdatei auf dem Smartphone schreibt – auf die jede App zugreifen kann, der man bei der Installation das Recht "Vertrauliche Protokolldaten lesen" erteilt hat.

Da viele Android-Nutzer darauf konditioniert sind, alle Rechteabfragen ungesehen abzunicken, dürfte es einem Angreifer nicht schwerfallen, an die nötige Berechtigung zu kommen. Mit dem gestohlenen Accesstoken kann sich die eine speziell präparierte App die Rechte der zur zum Token gehörigen App zu eigen machen.

Poll hat die Schwachstelle schon Mitte Februar entdeckt und an Facebook gemeldet. Das Unternehmen reagierte auch prompt und entfernte die Codezeile, die für die Log-Ausgabe verantwortlich war, aus dem SDK-Code. Allerdings war das Problem damit noch lange nicht aus der Welt geschafft: Das Facebook-SDK wird von den App-Entwicklern in die Apps integriert. Damit die Apps nicht mehr ihr Accesstoken verraten, muss also jeder einzelne Entwickler seine Apps mit der fehlerbereinigten Version des SDKs ausstatten und das Update über den Google Play (ehemals Android Market) verteilen.

Facebook hat Poll daher um Verschwiegenheit gebeten, bis zumindest die Anbieter der wichtigsten Apps mit Facebook-Anbindung reagiert haben. Dies ist nach Meinung von Facebook in der Zwischenzeit geschehen. Auch wenn noch keine Apps bekannt sind, die durch die Lücke ungefragt auf Facebook zugegriffen haben, sollte man die Installation ausstehender Update besser umgehend nachholen; schließlich sind die Details nun jedermann zugänglich. (rei)

11 Kommentare

Themen:

  1. Android M: App-Berechtigungen überarbeitet, neue Stromspar-Features

    Android M: App-Berechtigungen überarbeitet, neue Stromspar-Features

    Die neue Android-Version mit dem Code-Namen M kommt im zweiten Halbjahr 2015: Nutzer können Schnüffel-Apps nun besser einschränken, Google hat außerdem Bezahlsystem und Stromspar-Features überarbeitet.

  2. Googles Smartphone-System: Android M heißt Marshmallow und trägt Nummer 6.0

    Android Marshmallow

    Google hat die finale Version des SDKs für Android M herausgebracht und nebenher zwei Details verraten: Diese Version wird Android 6.0 Marshmallow heißen.

  3. Facebook ordnet stärkere Kryptographie für sich und App-Partner an

    Facebook

    Facebook will zeitnah auf sicherere Verschlüsselung setzen, um die Kommunikation im sozialen Netzwerk effizienter vor Manipulation zu schützen. Auf Facebook zugreifende Apps mit schwacher Krypto will der Konzern künftig aussperren.

  4. Sicherheitsloch im Dropbox-SDK für Android gestopft

    Sicherheitsloch im Dropbox-SDK für Android gestopft

    Durch eine Schwachstelle können Angreifer Apps mit Dropbox-Anbindung an ihren eigenen Dropbox-Account koppeln. Alle fortan hochgeladenen Dateien landen dann in der Dropbox des Angreifers.

  1. Smartphone-Schutz oder Entwicklerhonorar?

    Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay? Ein Kommentar von Veronika Szentpetery.

  2. Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay?

  3. Der Android-Test auf UXSS-Sicherheitslücke

    hide-on-desktop

    Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

  1. Fahrbericht: Triumph Street Twin

    Zweirad

    Triumph hat jüngst die Street Twin als Nachfolgerin der Bonneville auf den Markt gebracht - mit zwölf PS weniger. Klingt für viele erst einmal abschreckend lahm, aber das Gegenteil ist der Fall. Wir hatten jetzt die Gelegenheit, beide Modelle im direkten Vergleich zu fahren

  2. Audi Q3, Mazda CX-5 und VW Tiguan im Vergleichstest

    Mit seiner Skyactiv-Technologie verspricht der Mazda CX-5 niedrige Verbräuche und vorbildliche Emissionseigenschaften. Gut ausgestattet ist er auch und könnte damit eine günstige Alternative zu Audi Q3 und VW Tiguan sein. Wie schlagen sich die drei Allrad-Diesel um die 175 PS?

  3. Ausflug im Ford Expedition: Wahre Größe

    Ford

    Gegen Autos vom Schlage eines Ford Expedition wirken selbst ausgewachsenen Luxuslimousinen aus Europa zierlich. Dabei waren wir nicht einmal mit der XL-Version unterwegs. Ein Ausflug mit einem wirklich großen Auto

  4. Räder für den Alltag der Saison 2016

    Praktische Räder für den Alltag der Saison 2016

    Auch, wenn es vor lauter schrillbunten Neuerscheinungen und Technik-Overkill manchmal ganz anders aussehen mag - die meisten Kunden setzen weiterhin auf praktische Räder für den Alltag. Solche Fahrräder müssen sich vor allem in den Disziplinen "Komfort", "Sicherheit" und "Funktionalität" beweisen

Anzeige