Facebook OAuth-Token können unter Android und iOS aus Apps ausgelesen werden
Eine Schwachstelle im Facebook SDK ermöglicht das Auslesen der OAuth-Token in Apps, die mit Facebook verbunden sind. Dies betrifft sowohl Android, als auch iOS. In beiden Fällen kann der Schlüssel mit „geringem“ Aufwand an einem PC ausgelesen werden. Ob man hierbei von einer schweren Sicherheitslücke sprechen kann, ist fraglich. Auch Facebook sieht das Problem weniger tragisch und teilt mit, dass für die Android-Version keine Änderungen vorgenommen werden, während man untersucht, ob man für iOS den Schlüsselbund zur Hilfe nimmt.
Das Problem ist, dass die Schlüssel ohne Verschlüsselung im Speicher abgelegt werden. Hat man also Zugriff auf den Speicher, kann man sich auch die Schlüssel schnappen. Man kann damit die gleichen Berechtigungen erhalten, wie sie die entsprechende App auch hat. Im Fall von Spotify kann man zum Beispiel die Freundesliste, Newsfeed und das Geburtsdatum des Nutzers einsehen.
Im eingebundenen Video oben seht Ihr das Ganze in Verbindung mit der Viber-App. Bereits neulich gab es Wirbel um die OAuth-Token, es ist also nicht so, dass das Problem neu wäre. Entwickler könnten theoretisch dafür sorgen, dass die Token verschlüsselt abgelegt werden, dies ist jedoch mit einem größeren Aufwand verbunden. Die Reaktion von Facebook zeigt, dass diese Schwachstelle keine hohe Priorität genießt:
„I followed up with our Platform team to see if there were any changes they wanted to make here: – On the Android side we’ve concluded that we will not be making any changes: we are comfortable with the level of security provided by the Android OS. – On the iOS side the team is exploring the possibility of moving the access token storage to the keychain in order to comply with best practices.“
Nutzer, die sich durch die Möglichkeit des Auslesens bedroht fühlen, haben zwei Möglichkeiten. Entweder in Apps keine Verbindung mehr zu Facebook herstellen oder das Smartphone und auch Computer, die Backups des Smartphones beherbergen ganz fest halten und niemals aus der Hand geben.
Und? Wenn ich am PC ein vollständiges Backup meines Gerätes machen kann, kann ich auch solch Daten auslesen. Verschlüsseln bringt da erstmal wenig, wenn nicht der Benutzer das ganze irgendwie per Passwort sichert, wo soll sonst auch ein Schlüssel hergezaubert werden.
Wenn mein PC aber infiziert ist und ich da mein Handy dran hänge, habe ich doch ganz andere Probleme. Dann sind auch alle Daten und Webseitenbesuche am PC betroffen.
Die ganze Meldung ist wieder eher eine Nullnummer, die eher eine Info ist, aber als Sicherheitslücke aufgeblasen wird. Schade.