Facebook-Sicherheitslücke: IOS- und Android-Apps betroffen
Sicherheitslücke beim Facebook-Login
Laut MetaIntell wurde im „Software Development Kit“ (SDK) von Facebook für iOS und Android eine Sicherheitslücke entdeckt, bei der vermutlich Millionen Facebook-Accounts gefährdet sind. Betroffen sind Apps, die Facebook Oauth-Legitimierung nutzen. Dieses Anmeldeverfahren (Oauth) wird verwendet, um den User das Anmelden bei Facebook zu erleichtern, indem ein bestimmter Zugangsschlüssel zugewiesen wird. Dieser Schlüssel wird von den Apps gespeichert, um sich nicht immer wieder neu anmelden zu müssen. Allerdings besteht bereits seit einiger Zeit eine Schwachstelle des OAuth 2.0-Standards: Hacker, die wissen, wo sie suchen müssen, lassen sich nur noch die Zugangsdaten auslesen und können ohne Einschränkung den Account des Nutzers übernehmen.
Facebook entwarnt
MetaIntell hat die Sicherheitslücke schon im Mai an Facebook gemeldet, doch laut „The Hacker News“ gab Facebook gegenüber der amerikanischen Sicherheitsfirma an, dass sie Android für sicher genug halten. Für iOS will man voraussichtlich den Zugangsschlüssel in den „Keychain“-Service überführen. Bei diesem Service werden Passwörter und Zertifikate sicher gespeichert.
Außerdem kann die Sicherheitslücke nur dann ausgenutzt werden, solang der Hacker auch im Besitz des Smartphones ist, auf dem der Facebook-OAuth-Login genutzt wird. Mithilfe eines USB-Sticks wird das Gerät am Rechner angeschlossen und die Daten können ausgelesen werden. Laut Facebook ist der Hackerzugriff jedoch nicht über ein öffentliches WLAN möglich.
Wie kann man sich davor schützen?
MetaIntell empfiehlt:
- Vorerst auf eine Anmeldung in Apps von Drittherstellern mit den Facebook-Logindaten verzichten, stattdessen über die E-Mail-Adresse oder Google+ anmelden.
-
Am besten allen Apps, mit denen sich über Facebook angemeldet wurde, die Zugangsberechtigung in den Einstellungen entziehen: Einloggen, Liste aller Apps anzeigen lassen (unter „Apps, die du verwendest“) und über die Desktop-Browser-Ansicht löschen.
Betroffene Apps
- Pinterest: Soziales Netzwerk; für iOS und Android
- Viber: Internettelefonie-App; für iOS und Android