Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 11

Account-Übernahme durch Lücke im Facebook-SDK

Durch eine Schwachstelle im Facebook-SDK für Android konnten speziell präparierte Apps ungefragt auf das Facebook-Konto des Smartphone-Besitzers zugreifen, wie der Entwickler David Poll festgestellt hat. Apps wie foursquare nutzen das SDK, um komfortabel etwa das Facebook-Profil auszulesen oder Fotos auf der Pinnwand des Nutzers zu veröffentlichen; dem muss der Nutzer normalerweise zustimmen.

Nach der Zustimmung erhält die App ein Accesstoken vom Facebook-Server, mit dem sie fortan die gewünschten Aktionen durchführen kann. Poll hat beobachtet, dass dass Facebook-SDK eine URL, die das Token enthält, nach der erfolgreichen Rechteerteilung in eine Logdatei auf dem Smartphone schreibt – auf die jede App zugreifen kann, der man bei der Installation das Recht "Vertrauliche Protokolldaten lesen" erteilt hat.

Da viele Android-Nutzer darauf konditioniert sind, alle Rechteabfragen ungesehen abzunicken, dürfte es einem Angreifer nicht schwerfallen, an die nötige Berechtigung zu kommen. Mit dem gestohlenen Accesstoken kann sich die eine speziell präparierte App die Rechte der zur zum Token gehörigen App zu eigen machen.

Poll hat die Schwachstelle schon Mitte Februar entdeckt und an Facebook gemeldet. Das Unternehmen reagierte auch prompt und entfernte die Codezeile, die für die Log-Ausgabe verantwortlich war, aus dem SDK-Code. Allerdings war das Problem damit noch lange nicht aus der Welt geschafft: Das Facebook-SDK wird von den App-Entwicklern in die Apps integriert. Damit die Apps nicht mehr ihr Accesstoken verraten, muss also jeder einzelne Entwickler seine Apps mit der fehlerbereinigten Version des SDKs ausstatten und das Update über den Google Play (ehemals Android Market) verteilen.

Facebook hat Poll daher um Verschwiegenheit gebeten, bis zumindest die Anbieter der wichtigsten Apps mit Facebook-Anbindung reagiert haben. Dies ist nach Meinung von Facebook in der Zwischenzeit geschehen. Auch wenn noch keine Apps bekannt sind, die durch die Lücke ungefragt auf Facebook zugegriffen haben, sollte man die Installation ausstehender Update besser umgehend nachholen; schließlich sind die Details nun jedermann zugänglich. (rei)

11 Kommentare

Themen:

Anzeige
  1. Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Google schmeißt 500 potenzielle Spionage-Apps aus App Store

    Ein Software Development Kit für Werbeeinblendungen soll Schnüffelfunktionen mitbringen. Damit ausgestattete Android-Apps weisen über 100 Millionen Downloads auf, warnen Sicherheitsforscher.

  2. Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

  3. Android O ausprobiert: Das ist neu, das wird anders

    Android O ausprobiert: Das ist neu, das wird anders

    Ohne Vorankündigung hat Google die erste Entwicklerversion von Android O freigegeben. Die verspricht große Dinge, wie eine Verlängerung der Akkulaufzeit, verbesserte Notizen und endlich auch Benachrichtigungs-Icons. Wir haben die Preview ausprobiert.

  4. Pebble-App entfernt Cloud-Zwang

    Pebble Watch Time 2

    Nach dem Verkauf vom Smartwatch-Hersteller Pebble an das US-Unternehmen Fitbit war schon das Totenglöckchen für die Pebble-Cloud geläutet worden. Denn ohne die wäre die Uhr nur mit Tricks weiterverwendbar. Ganz so schlimm wird es nun doch nicht.

  1. Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Bei Progressive Web Apps handelt es sich um Webanwendungen, die sich ähnlich wie ihre nativen Gegenstücke anfühlen. Davon kann insbesondere die App-Programmierung profitieren.

  2. Pro & Contra: Mehr Apple-Apps für Windows und Android?

    iMessage und FaceTime sind in vielerlei Hinsicht besser als WhatsApp & Co., aber auf Macs und iOS-Geräte beschränkt. Sollte Apple die Apps auch für Android und Windows anbieten?

  3. Android Oreo: Features, Download und Smartphone-Unterstützung

    Android O: Features, Download und Smartphone-Unterstützung

    Android 8 heißt Android Oreo und ist bereits für einige Smartphones verfügbar. Viele Funktionen und die überarbeiteten Menüs kann man deshalb schon ausprobieren – ein Blick auf die Neuerungen.

  1. WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlüsselung

    WLAN

    Sicherheitsforscher haben offenbar kritische Lücken im Sicherheitsstandard WPA2 entdeckt. Sie geben an, dass sich so Verbindungen belauschen lassen.

  2. Weniger Belohnung für Miner: Ethereum führt Byzantium-Update ein

    Weniger Belohnung für Miner: Ethereum führt Byzantium-Update ein

    Der erste Teil eines umfangreichen Updates für die Kryptogeldplatfform Ethereum ist offenbar erfolgreich über die Bühne gegangen. Zu den Änderungen gehört eine geringere Belohnung für Miner und die Verschiebung der "Difficulty Bomb".

  3. Zeitraffer: Lego Millennium Falcon in Rekordzeit gebaut

    Lego-Marathon: Millennium Falcon in Rekordzeit gebaut

    Nach 10:53:01 Stunden konnten wir die Zeitnahme stoppen: Das 7541-teilige Lego-Modell des Millennium Falcon war fertig. Alle, die keine Zeit haben, die Aufzeichnung anzuschauen, können den Rekord im knapp vierminütigen Zeitraffer anschauen.

  4. Notfall-Update für Adobe Flash Player – jetzt patchen!

    Adobe

    Eine Sicherheitslücke in Adobes Flash Player ermöglicht die Remote Code Execution. Sie wird bereits aktiv von Angreifern missbraucht. Updates stehen bereit und sollten so schnell wie möglich eingespielt werden.

Anzeige