Ein Sicherheitsforscher hat mehrere Lücken in Facebooks System gefunden, die es einem Entwickler erlauben, auf Daten beliebiger Facebook-Mitglieder zuzugreifen. Einem Blog von Nir Goldshlager zufolge stecken die Fehler in der Verwaltung der Berechtigungen, die eine App vom Nutzer erhält, damit sie dessen Daten abrufen und verarbeiten kann.
Eine dieser Anfälligkeiten, die er an Facebook gemeldet habe, sei inzwischen beseitigt worden, schreibt Goldshlager, der sich beruflich mit dem Auffinden von Sicherheitslücken beschäftigt. Facebooks Authentifizierungsdienst OAuth sei aber weiterhin unsicher. “Ich habe noch mehr OAuth-Fehler gefunden und warte nur auf einen Fix, damit ich darüber schreiben kann.
Facebook wollte sich nicht zu den anderen, von Goldshlager angesprochenen Fehlern äußern. Es teilte lediglich mit, die zuerst von ihm entdeckte Schwachstelle sei von keinem Facebook-Entwickler missbraucht worden. Unklar ist, wann Goldshlager das Social Network über die Sicherheitsprobleme informiert hat.
“Wir applaudieren dem Sicherheitsforscher, der uns auf diesen Fehler aufmerksam gemacht hat”, heißt es in einer E-Mail eines Facebook-Sprechers an News.com. Durch den verantwortungsvollen Umgang des Forschers mit dem Fehler gebe es keine Hinweise auf einen Missbrauch. “Wir haben dem Forscher eine Prämie gezahlt, um ihm für seinen Beitrag zur Sicherheit von Facebook zu danken.”
Goldshlager war seinem Blogeintrag zufolge in der Lage, sogenannte Access Tokens zu stehlen und sich damit als Entwickler auszugeben. Anschließend habe er alle Nachrichten, Fotos und Videos eines Nutzers abrufen und dessen Profil verwalten können. Das sei sogar mit Profilen möglich gewesen, die nie eine zusätzliche App installiert hätten. Facebooks eigene Apps wie der Messenger seien ausreichend. Zudem seien die Tokens für den Facebook Messenger unbegrenzt gültig. Das Token einer App eines Drittanbieters verfalle hingegen, sobald ein Opfer sein Passwort ändere.
Einen ähnlichen Fehler in Googles Android-Marktplatz Play hatte ein australischer Entwickler vor rund zwei Wochen gemeldet. Er erhielt Zugriff auf sämtliche Kundendaten der Käufer seiner Apps. “Das ist ein schlimmes Versehen von Google”, schreibt er in seinem Blog. “Unter keinen Umständen sollte ich diese Daten zu sehen bekommen, außer die Leute stimmen dem zu und wissen auch ganz genau, dass ich ihre Daten erhalte.” An Google richtete er sich mit den Worten: “Behebt das. Sofort.”
[mit Material von Donna Tam, News.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Das Bewusstsein für die Bedeutung von Diversität wächst, doch der Fortschritt bleibt zäh, obwohl gemischte…
Der Kommunale IT-Service (KitS) des thüringischen Landkreises Schmalkalden-Meiningen nutzt hyperkonvergente VxRail-Systeme von Dell Technologies.
Hersteller von digitalen Produkte können auch nach dem Kauf dauerhaft Zugriff auf Systeme und Informationen…
Meist steht die Sicherheit von Infrastruktur und Cloud im Fokus. Auch Anwendungen sollten höchsten Sicherheitsanforderungen…
Das finnische Facility-Service-Unternehmen ISS Palvelut hat eine umfassende Transformation seiner Betriebsabläufe und IT-Systeme eingeleitet.
PDFs werden zunehmend zum trojanischen Pferd für Hacker und sind das ideale Vehikel für Cyber-Kriminelle,…