Facebook OAuth-Token können unter Android und iOS aus Apps ausgelesen werden

4. Juli 2014 Kategorie: Android, Backup & Security, iOS, Mobile, Social Network, geschrieben von:

Eine Schwachstelle im Facebook SDK ermöglicht das Auslesen der OAuth-Token in Apps, die mit Facebook verbunden sind. Dies betrifft sowohl Android, als auch iOS. In beiden Fällen kann der Schlüssel mit „geringem“ Aufwand an einem PC ausgelesen werden. Ob man hierbei von einer schweren Sicherheitslücke sprechen kann, ist fraglich. Auch Facebook sieht das Problem weniger tragisch und teilt mit, dass für die Android-Version keine Änderungen vorgenommen werden, während man untersucht, ob man für iOS den Schlüsselbund zur Hilfe nimmt.

Das Problem ist, dass die Schlüssel ohne Verschlüsselung im Speicher abgelegt werden. Hat man also Zugriff auf den Speicher, kann man sich auch die Schlüssel schnappen. Man kann damit die gleichen Berechtigungen erhalten, wie sie die entsprechende App auch hat. Im Fall von Spotify kann man zum Beispiel die Freundesliste, Newsfeed und das Geburtsdatum des Nutzers einsehen.

Im eingebundenen Video oben seht Ihr das Ganze in Verbindung mit der Viber-App. Bereits neulich gab es Wirbel um die OAuth-Token, es ist also nicht so, dass das Problem neu wäre. Entwickler könnten theoretisch dafür sorgen, dass die Token verschlüsselt abgelegt werden, dies ist jedoch mit einem größeren Aufwand verbunden. Die Reaktion von Facebook zeigt, dass diese Schwachstelle keine hohe Priorität genießt:

„I followed up with our Platform team to see if there were any changes they wanted to make here: – On the Android side we’ve concluded that we will not be making any changes: we are comfortable with the level of security provided by the Android OS. – On the iOS side the team is exploring the possibility of moving the access token storage to the keychain in order to comply with best practices.“

Nutzer, die sich durch die Möglichkeit des Auslesens bedroht fühlen, haben zwei Möglichkeiten. Entweder in Apps keine Verbindung mehr zu Facebook herstellen oder das Smartphone und auch Computer, die Backups des Smartphones beherbergen ganz fest halten und niemals aus der Hand geben.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9391 Artikel geschrieben.