Account-Übernahme durch iPhone und iPad: Facebook-Schwachstelle in Dritt-Apps
Ob sich die jetzt von Chilik Tamir entdeckte Facebook-Schwachstelle das Prädikat „Sicherheitslücke“ verdient hat, wollen wir aktuell noch dahingestellt lassen. Momentan macht die im unten eingebetteten Video demonstrierte Account-Übernahme eher den Eindruck, als hätten wir es mit schlampigen Implementierungen der Facebook-Autorisation zu tun, die eher den Entwickler der betroffenen Anwendungen als Facebook selbst anzulasten ist.
Bild: thehackernews
Dennoch, das Fundstück der Security-Experten von MetaIntell sollte zumindest erwähnt werden.
Im Kern geht es um folgendes: Dritt-Applikationen wie Viber, Spotify & Co., die euren Facebook-Account aus den iOS-Systemeinstellungen zur Authentifizierung beim weltgrößten sozialen Netzwerk nutzen und euch so den komfortablen Login auf iPhone und iPad anbieten, scheinen die von Facebook-Ausgegebenen Zugangsschlüssel (sogenannte OAuth-Token) nicht immer ordentlich zu verstauen
Mehrere Dritt-Applikationen legen die Facebook-Zugangsdaten einfach an Stellen im iOS-Dateisystem ab, auf die mit Werkzeugen wie iExplorer und iFunbox zugegriffen werden kann.
Die Folgen: Bösewichte mit physischem Zugriff auf eure Geräte, können sich im schlechtesten Fall in euer Facebook-Konto einloggen, Nachrichten verfassen und Kommentare absetzen.
(Direkt-Link)MetaIntell has identified that 71 of the top 100 free iOS apps use the Facebook SDK and are vulnerable, impacting the over 1.2 billion downloads of these apps. Of the top 100 Android apps, 31 utilize the Facebook SDK and therefore make vulnerable the over 100 billion downloads of these apps.
Facebook hat auf die Veröffentlichung wenig motiviert reagiert und will prüfen ob Möglichkeiten für einen besseren Schutz der Token in das Facebook SDK implementiert werden können.
On the Android side we’ve concluded that we will not be making any changes: we are comfortable with the level of security provided by the Android OS. – On the iOS side the team is exploring the possibility of moving the access token storage to the keychain in order to comply with best practices.
Bedeutet das, das Android (an dieser Stelle, aber möglicherweise auch darüberhinaus) einen hohen Maß an Sicherheit gerecht wird, bzw. eine entsprechende Schwachstelle nicht gegeben ist, oder dass man von Android ohnehin nichts besseres gewohnt ist!? :P ;) :DDD
Nein, denn bei iOS sind es ein paar Dritt-Apps die die Tokens ungünstig ablegen, sodass man zugriff darauf bekommt. Bei Android wird das aber bei jedem Drittanbieter App der Fall sein durch das offene System und den möglichen Zugriff egal wo das Token abgelegt wird…
Auch Android hat ein Sandboxing-Mechanismus.
@goran der verfügt aber über sicherheitsmechanismen die ein 5 Jähriger überlisten kann ^^ ok vllt. bisschen übertrieben aber es ist ziemlich einfach
Aus einer regulären App heraus, ohne dass das Gerät gerootet ist?
„… bei iOS sind es ein paar Dritt-Apps die die Tokens ungünstig ablegen“
Es betrifft alle, die das Facebook-SDK benutzen. Das Facebook-SDK legt die Tokens nicht in die KeyChain und damit „ungünstig“ ab.
Ich hab die Lösung: einfach von fakebook anmelden!! :D
Oh mein Gott, dann kann jemand Nachrichten in meinem Namen verfassen. Skandal.
Im Grunde sehe ich das genauso wie du, ABER gehe mal von dem Fall aus das dein iOS Gerät absichtlich geklaut wird um dir zu schaden, dann wäre es schon bedenklich weil Beleidigungen in deinem Namen zum Beispiel dir zugerechnet werden für die du dich dann eventuell sogar vor Gericht verantworten müsstest … Dann bekommt die Sicherheitslücke eine ganz andere Perspektive
Was?
Also wenn jemand mein iOS Gerät klaut um mir zu schaden, braucht der auch diese Sicherheitlücke nicht. Dann hat er ja schon meinen eingelogten Account. Und den Diebstahl eines iDevice sollte der betroffene Recht schnell merken. Dann wird es gesperrt und die Passwörter aller abgelegten Accounts auf dem Gerät geändert.
.
Das ist eine eher hypothetische Sicherheitslücke.
Mal sehen, wie es deinem Arbeitgeber nach einem anonymen Tip gefällt, dass du ihn auf Facebook auf übelste beleidigst oder auf einmal mehreren ultrarechten Gruppen angehörst. Aber es sind ja nur Nachrichten …
Es gibt tatsächlich Leute, die ihren Facebookaccount für Anmeldungen nutzen??
Das ist wahrscheinlich die eigentliche Sicherheitslücke hinter dem Artikel
Es gibt tatsächlich noch Leute, die Facebook nutzen??
Es gibt tatsächlich noch Leute, die das Internet nutzen??
Es gibt tatsächlich noch andere Leute??
Es gibt tatsächlich noch andere?
Bösewichte mit physischem Zugriff auf eure Geräte…
können (fast) alle Apps in meinem Namen nutzen, bei FB posten, SMS verschicken oder Meine Kontakte anrufen.
Oder ist mir da was entgangen?
ja, solange an. hier geht es darum, dass jemand innerhalb von fünf minuten – also auch durch kurzzeitiges ausleihen – deine login-daten übernehmen könnte.
Auch quatsch.
Derjenige erhält nicht die Login-Daten!
Er hat zugriff auf das Authentifizierungstoken, mit dessen Hilfe er bsw auf Facebook posten kann. Er hat aber keinen Zugriff auf den eigentlichen Facebook-Account!