Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 11

Account-Übernahme durch Lücke im Facebook-SDK

Durch eine Schwachstelle im Facebook-SDK für Android konnten speziell präparierte Apps ungefragt auf das Facebook-Konto des Smartphone-Besitzers zugreifen, wie der Entwickler David Poll festgestellt hat. Apps wie foursquare nutzen das SDK, um komfortabel etwa das Facebook-Profil auszulesen oder Fotos auf der Pinnwand des Nutzers zu veröffentlichen; dem muss der Nutzer normalerweise zustimmen.

Nach der Zustimmung erhält die App ein Accesstoken vom Facebook-Server, mit dem sie fortan die gewünschten Aktionen durchführen kann. Poll hat beobachtet, dass dass Facebook-SDK eine URL, die das Token enthält, nach der erfolgreichen Rechteerteilung in eine Logdatei auf dem Smartphone schreibt – auf die jede App zugreifen kann, der man bei der Installation das Recht "Vertrauliche Protokolldaten lesen" erteilt hat.

Da viele Android-Nutzer darauf konditioniert sind, alle Rechteabfragen ungesehen abzunicken, dürfte es einem Angreifer nicht schwerfallen, an die nötige Berechtigung zu kommen. Mit dem gestohlenen Accesstoken kann sich die eine speziell präparierte App die Rechte der zur zum Token gehörigen App zu eigen machen.

Poll hat die Schwachstelle schon Mitte Februar entdeckt und an Facebook gemeldet. Das Unternehmen reagierte auch prompt und entfernte die Codezeile, die für die Log-Ausgabe verantwortlich war, aus dem SDK-Code. Allerdings war das Problem damit noch lange nicht aus der Welt geschafft: Das Facebook-SDK wird von den App-Entwicklern in die Apps integriert. Damit die Apps nicht mehr ihr Accesstoken verraten, muss also jeder einzelne Entwickler seine Apps mit der fehlerbereinigten Version des SDKs ausstatten und das Update über den Google Play (ehemals Android Market) verteilen.

Facebook hat Poll daher um Verschwiegenheit gebeten, bis zumindest die Anbieter der wichtigsten Apps mit Facebook-Anbindung reagiert haben. Dies ist nach Meinung von Facebook in der Zwischenzeit geschehen. Auch wenn noch keine Apps bekannt sind, die durch die Lücke ungefragt auf Facebook zugegriffen haben, sollte man die Installation ausstehender Update besser umgehend nachholen; schließlich sind die Details nun jedermann zugänglich. (rei)

11 Kommentare

Themen:

Anzeige
  1. Die meisten Android-Virenscanner sind unsicher

    Android-Sicherheits-Apps sind unsicher

    Eigentlich sollte AV-Software das Smartphone vor Schadcode schützen. Wie Forscher nun festgestellt haben, weisen viele Virenjäger für Android allerdings selbst eklatante Sicherheitsmängel auf.

  2. Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

  3. Pebble-App entfernt Cloud-Zwang

    Pebble Watch Time 2

    Nach dem Verkauf vom Smartwatch-Hersteller Pebble an das US-Unternehmen Fitbit war schon das Totenglöckchen für die Pebble-Cloud geläutet worden. Denn ohne die wäre die Uhr nur mit Tricks weiterverwendbar. Ganz so schlimm wird es nun doch nicht.

  4. Android O ausprobiert: Das ist neu, das wird anders

    Android O ausprobiert: Das ist neu, das wird anders

    Ohne Vorankündigung hat Google die erste Entwicklerversion von Android O freigegeben. Die verspricht große Dinge, wie eine Verlängerung der Akkulaufzeit, verbesserte Notizen und endlich auch Benachrichtigungs-Icons. Wir haben die Preview ausprobiert.

  1. Smartphone-Schutz oder Entwicklerhonorar?

    Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay? Ein Kommentar von Veronika Szentpetery.

  2. Smartphone-Schutz oder Entwicklerhonorar?

    Appguard lässt mich unverschämt datengierigen Apps unnötige Rechte entziehen. Bei kostenpflichtigen Apps kann sie aber unbeabsichtigt verhindern, dass der Entwickler sein Geld bekommt. Ist das okay?

  3. Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Bei Progressive Web Apps handelt es sich um Webanwendungen, die sich ähnlich wie ihre nativen Gegenstücke anfühlen. Davon kann insbesondere die App-Programmierung profitieren.

  1. Austerität auf ewig?

    Soll Griechenland aus dem Euro vergrault werden? Varoufakis belastet Schäuble

  2. EInk: Farbige Kügelchen, Schwarzweiß-Display mit 600 dpi

    EInk: Farbige Kügelchen, Schwarzweiß-Display mit 600 fpi

    EInk zeigt auf der DisplayWeek farbige elektronische Schilder mit 150 dpi Auflösung. Aus der Zusammenarbeit mit JDI sind elektronische Papiere mit stolzen 600 dpi hervorgegangen, als Gimmick gibts ein E-Paper-Kleid.

  3. 40 Jahre Star Wars: Das Jubiläum der Macht

    40 Jahre Star Wars: Das Jubiläum der Macht

    A long time ago in a galaxy far, far away … Am 25. Mai 1977 startete die Star-Wars-Saga in den Kinos der Vereinigten Staaten. Doch der Weg zur Macht, nicht vorgegeben er war...

  4. "Trump-Modus": 1Password entfernt Passwörter temporär für Grenzkontrollen

    "Trump-Modus": 1Password entfernt wichtige Passwörter für Grenzkontrollen temporär

    Nutzer können in dem Passwort-Manager hinterlegte Zugangsdaten nun leicht von all ihren Geräten entfernen – und später wieder hinzufügen. Dies soll verhindern, dass Grenzbeamte bei Kontrollen Einblick in die Daten erlangen.

Anzeige