Sicherheitslücke im „Software Development Kit (SDK)“ von Facebook.
Nutzen Sie eine App oder haben Sie eine App installiert, bei der Sie sich mit Hilfe von Facebook anmelden (z. B. Runtastic, Viber, Quizduell, etc)? Dann können Hacker auf Ihre privaten Nutzerdaten des Facebook-Accounts zugreifen und z. B. Ihre Freundesliste, private Informationen oder den Newsfeed einsehen!
Die amerikanische Sicherheitsfirma MetaIntell, hat die Sicherheitslücke im „Software Development Kit (SDK)“ von Facebook für iOS und Android entdeckt. App-Entwickler verwenden das Facebook SDK damit die entwickelten Apps auf Facebook zugreifen können.
Laut MetaIntell nutzen 71 der Top 100 iOS und 31 der Top 100 Android Apss dieses SDK. Das bedeutet das Millionen von Nutzern durch diese Sicherheitslücke gefährdet sind.
Beim Anmeldeverfahren vieler Apps, zum Beispiel Spotify, Viber, etc, bei denen man sich über den Facebook-Login anmeldet, bekommt die App einen Zugangsschlüssel von Facebook zugewiesen, mit der die App auf Ihre Facebook-Daten zugreift. Damit Sie sich nicht immer neu anmelden müssen, wird dieser Zugangsschlüssel gespeichert. Das Problem hierbei ist, dass der Zugangsschlüssel unverschlüsselt im Klartext angezeigt wird. Aus diesem Grund lässt sich der Zugangsschlüssel auslesen.
Im nachfolgenden Video wird gezeigt, wie dies bei Android und iOS Geräten funktioniert.
Schließen Hacker Ihr Smartphone an einen PC an, kann der Zugangsschlüssel also sehr schnell ausgelesen werden. Bei iOS ist weniger Aufwand nötig als bei Android. Der Hacker kann mit dem Zugangsschlüssel auf die selben Daten zugreifen wie ursprüngliche App. Hiefür muss das Smartphone nicht gerootet sein.
Facebook reagierte bisher eher verhalten. MetaIntell hat Facebook im Mai über die Sicherheitslücke informiert, doch Facebook möchte das Problem vorerst nicht angehen. Lediglich bei iOS ist man am überlegen, den Zugangsschlüssel in den „Keychain“-Service zu überführen. Im „Keychainb“ werden Passwörter und Zertifikate sicher gespeichert.
Detektiv-Lux empfiehlt Ihnen daher entweder auf die Nutzung des Facebook Logins bei Apps zu verzichten oder das Smartphone nicht aus der Hand zu geben. Denn das Smartphone kann von außen nicht angegriffen werden, lediglich wenn der Hacker das Smartphone in der Hand hat.
Weitere Links von Detektiv-Lux zum Thema Facebook und Datensicherheit:
Test – Sind Sie schon Opfer von Datendiebstahl?
Anleitung um Ihre Freundesliste auf Facebook unsichtbar zu machen
Anleitung zum blockieren aller Spieleanfragen auf Facebook
