Ein Sicherheitsforscher hat mehrere Lücken in Facebooks System gefunden, die es einem Entwickler erlauben, auf Daten beliebiger Facebook-Mitglieder zuzugreifen. Einem Blog von Nir Goldshlager zufolge stecken die Fehler in der Verwaltung der Berechtigungen, die eine App vom Nutzer erhält, damit sie dessen Daten abrufen und verarbeiten kann.
Eine dieser Anfälligkeiten, die er an Facebook gemeldet habe, sei inzwischen beseitigt worden, schreibt Goldshlager, der sich beruflich mit dem Auffinden von Sicherheitslücken beschäftigt. Facebooks Authentifizierungsdienst OAuth sei aber weiterhin unsicher. “Ich habe noch mehr OAuth-Fehler gefunden und warte nur auf einen Fix, damit ich darüber schreiben kann.
Facebook wollte sich nicht zu den anderen, von Goldshlager angesprochenen Fehlern äußern. Es teilte lediglich mit, die zuerst von ihm entdeckte Schwachstelle sei von keinem Facebook-Entwickler missbraucht worden. Unklar ist, wann Goldshlager das Social Network über die Sicherheitsprobleme informiert hat.
“Wir applaudieren dem Sicherheitsforscher, der uns auf diesen Fehler aufmerksam gemacht hat”, heißt es in einer E-Mail eines Facebook-Sprechers an News.com. Durch den verantwortungsvollen Umgang des Forschers mit dem Fehler gebe es keine Hinweise auf einen Missbrauch. “Wir haben dem Forscher eine Prämie gezahlt, um ihm für seinen Beitrag zur Sicherheit von Facebook zu danken.”
Goldshlager war seinem Blogeintrag zufolge in der Lage, sogenannte Access Tokens zu stehlen und sich damit als Entwickler auszugeben. Anschließend habe er alle Nachrichten, Fotos und Videos eines Nutzers abrufen und dessen Profil verwalten können. Das sei sogar mit Profilen möglich gewesen, die nie eine zusätzliche App installiert hätten. Facebooks eigene Apps wie der Messenger seien ausreichend. Zudem seien die Tokens für den Facebook Messenger unbegrenzt gültig. Das Token einer App eines Drittanbieters verfalle hingegen, sobald ein Opfer sein Passwort ändere.
Einen ähnlichen Fehler in Googles Android-Marktplatz Play hatte ein australischer Entwickler vor rund zwei Wochen gemeldet. Er erhielt Zugriff auf sämtliche Kundendaten der Käufer seiner Apps. “Das ist ein schlimmes Versehen von Google”, schreibt er in seinem Blog. “Unter keinen Umständen sollte ich diese Daten zu sehen bekommen, außer die Leute stimmen dem zu und wissen auch ganz genau, dass ich ihre Daten erhalte.” An Google richtete er sich mit den Worten: “Behebt das. Sofort.”
[mit Material von Donna Tam, News.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…