{"id":62519,"date":"2014-07-04T15:18:08","date_gmt":"2014-07-04T13:18:08","guid":{"rendered":"http:\/\/www.ifun.de\/?p=62519"},"modified":"2014-07-04T15:18:40","modified_gmt":"2014-07-04T13:18:40","slug":"account-uebernahme-durch-iphone-und-ipad-facebook-schwachstelle-in-dritt-apps","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/account-uebernahme-durch-iphone-und-ipad-facebook-schwachstelle-in-dritt-apps-62519\/","title":{"rendered":"Account-\u00dcbernahme durch iPhone und iPad: Facebook-Schwachstelle in Dritt-Apps"},"content":{"rendered":"<p>Ob sich die jetzt von Chilik Tamir <a href=\"http:\/\/metaintell.com\/blog\/2014\/07\/01\/metaintell-uncovers-significant-vulnerability-with-popular-facebook-sdk-affecting-numerous-ios-and-android-apps-and-potentially-billions-of-installations\/\">entdeckte<\/a> Facebook-Schwachstelle das Pr\u00e4dikat &#8222;Sicherheitsl\u00fccke&#8220; verdient hat, wollen wir aktuell noch dahingestellt lassen. Momentan macht die im unten eingebetteten <a href=\"http:\/\/youtu.be\/1fylUF_YUqk\">Video<\/a> demonstrierte Account-\u00dcbernahme eher den Eindruck, als h\u00e4tten wir es mit schlampigen Implementierungen der Facebook-Autorisation zu tun, die eher den Entwickler der betroffenen Anwendungen als Facebook selbst anzulasten ist. <\/p>\n<p><a href=\"http:\/\/images.ifun.de\/wp-content\/uploads\/2014\/07\/fatz-2.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/images.ifun.de\/wp-content\/uploads\/2014\/07\/fatz-2.jpg\" alt=\"fatz-2\" width=\"500\" height=\"344\" class=\"aligncenter size-full wp-image-62520\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2014\/07\/fatz-2.jpg 500w, https:\/\/images.ifun.de\/wp-content\/uploads\/2014\/07\/fatz-2-300x206.jpg 300w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/a><\/p>\n<h6>Bild: <a href=\"http:\/\/www.thehackernews.com\/\">thehackernews<\/a><\/h6>\n<p>Dennoch, das Fundst\u00fcck der Security-Experten von <a href=\"http:\/\/metaintell.com\/blog\/2014\/07\/01\/metaintell-uncovers-significant-vulnerability-with-popular-facebook-sdk-affecting-numerous-ios-and-android-apps-and-potentially-billions-of-installations\/\">MetaIntell<\/a> sollte zumindest erw\u00e4hnt werden. <\/p>\n<p>Im Kern geht es um folgendes: Dritt-Applikationen wie Viber, Spotify &#038; Co., die euren Facebook-Account aus den iOS-Systemeinstellungen zur Au\u00adthen\u00adti\u00adfi\u00adzie\u00adrung beim weltgr\u00f6\u00dften sozialen Netzwerk nutzen und euch so den komfortablen Login auf iPhone und iPad anbieten, scheinen die von Facebook-Ausgegebenen Zugangsschl\u00fcssel (sogenannte <a href=\"https:\/\/de.wikipedia.org\/wiki\/OAuth\">OAuth-Token<\/a>) nicht immer ordentlich zu verstauen <\/p>\n<p>Mehrere Dritt-Applikationen legen die Facebook-Zugangsdaten einfach an Stellen im iOS-Dateisystem ab, auf die mit Werkzeugen wie iExplorer und <a href=\"http:\/\/www.iphone-ticker.de\/zum-iphone-zugriff-von-mac-und-pc-kostenloses-werkzeug-ifunbox-in-neuer-version-58271\/\" title=\"ifunbox\">iFunbox<\/a> zugegriffen werden kann. <\/p>\n<p>Die Folgen: B\u00f6sewichte mit physischem Zugriff auf eure Ger\u00e4te, k\u00f6nnen sich im schlechtesten Fall in euer Facebook-Konto einloggen, Nachrichten verfassen und Kommentare absetzen. <\/p>\n<blockquote><p>MetaIntell has identified that 71 of the top 100 free iOS apps use the Facebook SDK and are vulnerable, impacting the over 1.2 billion downloads of these apps. Of the top 100 Android apps, 31 utilize the Facebook SDK and therefore make vulnerable the over 100 billion downloads of these apps.<\/p><\/blockquote>\n<p><div class=\"responsive-video\"><iframe loading=\"lazy\" width=\"700\" height=\"371\" src=\"http:\/\/www.youtube-nocookie.com\/embed\/1fylUF_YUqk\" frameborder=\"0\" allowfullscreen><\/iframe><\/div> (<a href=\"http:\/\/youtu.be\/1fylUF_YUqk\">Direkt-Link<\/a>)<\/p>\n<p>Facebook hat auf die Ver\u00f6ffentlichung <a href=\"http:\/\/thehackernews.com\/2014\/07\/facebook-sdk-vulnerability-puts.html\">wenig motiviert<\/a> reagiert und will pr\u00fcfen ob M\u00f6glichkeiten f\u00fcr einen besseren Schutz der Token in das Facebook SDK implementiert werden k\u00f6nnen. <\/p>\n<blockquote><p>On the Android side we&#8217;ve concluded that we will not be making any changes: we are comfortable with the level of security provided by the Android OS. &#8211; On the iOS side the team is exploring the possibility of moving the access token storage to the keychain in order to comply with best practices.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.ifun.de\/account-uebernahme-durch-iphone-und-ipad-facebook-schwachstelle-in-dritt-apps-62519\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2014\/07\/fatz-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Ob sich die jetzt von Chilik Tamir entdeckte Facebook-Schwachstelle das Pr\u00e4dikat &#8222;Sicherheitsl\u00fccke&#8220; verdient hat, wollen wir aktuell noch dahingestellt lassen. Momentan macht die im unten eingebetteten Video demonstrierte Account-\u00dcbernahme eher den Eindruck, als h\u00e4tten wir es mit schlampigen Implementierungen der Facebook-Autorisation zu tun, die eher den Entwickler der betroffenen Anwendungen als Facebook selbst anzulasten ist. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":62521,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[234,27,88,92],"class_list":["post-62519","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-facebook","tag-hacks","tag-security","tag-sicherheit"],"acf":[],"aioseo_notices":[],"featured_image":["http:\/\/images.ifun.de\/wp-content\/uploads\/2014\/07\/fatz.jpg"],"rest_api_enabler":{"featured_image":"http:\/\/images.ifun.de\/wp-content\/uploads\/2014\/07\/fatz.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/62519","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=62519"}],"version-history":[{"count":2,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/62519\/revisions"}],"predecessor-version":[{"id":62523,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/62519\/revisions\/62523"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/62521"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=62519"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=62519"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=62519"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}