Facebook OAuth-Token können unter Android und iOS aus Apps ausgelesen werden

Eine Schwachstelle im Facebook SDK ermöglicht das Auslesen der OAuth-Token in Apps, die mit Facebook verbunden sind. Dies betrifft sowohl Android, als auch iOS. In beiden Fällen kann der Schlüssel mit „geringem“ Aufwand an einem PC ausgelesen werden. Ob man hierbei von einer schweren Sicherheitslücke sprechen kann, ist fraglich. Auch Facebook sieht das Problem weniger tragisch und teilt mit, dass für die Android-Version keine Änderungen vorgenommen werden, während man untersucht, ob man für iOS den Schlüsselbund zur Hilfe nimmt.

Das Problem ist, dass die Schlüssel ohne Verschlüsselung im Speicher abgelegt werden. Hat man also Zugriff auf den Speicher, kann man sich auch die Schlüssel schnappen. Man kann damit die gleichen Berechtigungen erhalten, wie sie die entsprechende App auch hat. Im Fall von Spotify kann man zum Beispiel die Freundesliste, Newsfeed und das Geburtsdatum des Nutzers einsehen.

Im eingebundenen Video oben seht Ihr das Ganze in Verbindung mit der Viber-App. Bereits neulich gab es Wirbel um die OAuth-Token, es ist also nicht so, dass das Problem neu wäre. Entwickler könnten theoretisch dafür sorgen, dass die Token verschlüsselt abgelegt werden, dies ist jedoch mit einem größeren Aufwand verbunden. Die Reaktion von Facebook zeigt, dass diese Schwachstelle keine hohe Priorität genießt:

„I followed up with our Platform team to see if there were any changes they wanted to make here: – On the Android side we’ve concluded that we will not be making any changes: we are comfortable with the level of security provided by the Android OS. – On the iOS side the team is exploring the possibility of moving the access token storage to the keychain in order to comply with best practices.“

Nutzer, die sich durch die Möglichkeit des Auslesens bedroht fühlen, haben zwei Möglichkeiten. Entweder in Apps keine Verbindung mehr zu Facebook herstellen oder das Smartphone und auch Computer, die Backups des Smartphones beherbergen ganz fest halten und niemals aus der Hand geben.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Ein Kommentar

  1. Und? Wenn ich am PC ein vollständiges Backup meines Gerätes machen kann, kann ich auch solch Daten auslesen. Verschlüsseln bringt da erstmal wenig, wenn nicht der Benutzer das ganze irgendwie per Passwort sichert, wo soll sonst auch ein Schlüssel hergezaubert werden.

    Wenn mein PC aber infiziert ist und ich da mein Handy dran hänge, habe ich doch ganz andere Probleme. Dann sind auch alle Daten und Webseitenbesuche am PC betroffen.

    Die ganze Meldung ist wieder eher eine Nullnummer, die eher eine Info ist, aber als Sicherheitslücke aufgeblasen wird. Schade.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.