Sicherheitslücke bei Facebook auf Android-Geräten - News - meinAndroid.com

Sicherheitslücke bei Facebook auf Android-Geräten

Wer Facebook auf seinem Android Smartphone nutzt, verbindet gerne andere Apps zum Beispiel zum Teilen von Fotos direkt auf seiner Facebook-Pinnwand. In der Regel schaut man erst gar nicht, welche Rechte man genau vergibt. Die Verbindung wird „blind“ vertraut und der Zugriff erlaubt. Dass man damit auch anderen Apps die Übernahme des Accounts erlaubt, wissen wohl die wenigsten. Grund hierfür ist eine Sicherheitslücke im Facebook-SDK.

Der Entwickler David Poll hat diese Sicherheitslücke Mitte Februar entdeckt und umgehend Facebook informiert. Nach der Zustimmung zur Verbindung mit Facebook erhält nämlich die Android-App einen Zugangstoken vom Facebook-Server. Dieses Token enthält eine URL, die in eine Logdatei geschrieben wird. Auf diese Logdatei – und damit auf die URL – hat jede App auf dem Android Smartphone Zugang, der man als Zugriffsrecht „Vertrauliche Protokolldaten lesen“ erteilt hat.

Nachdem Poll das Problem mitteilte, reagierte Facebook auch umgehend und bat ihn um Verschwiegenheit. Allerdings scheint das Problem mit dem Update in der SDK immer noch nicht behoben zu sein. Denn die Android-Entwickler haben den Code-Schnipsel in ihre Apps integriert. Um das Problem ganz aus der Welt zu schaffen, müsste jeder einzelne Entwickler seine App updaten und eine neue Version in Google Play zur Verfügung stellen. Bis dahin heißt es wohl mit Facebook verbundene Apps neu zu konfigurieren oder das Beste zu hoffen.

Bisher sollen keine Vorfälle bekannt sein, in denen Apps diese Sicherheitslücke ausgenutzt haben. Ob man es glaubt oder nicht, überlasse ich jedem Leser selbst.

Quelle: www.h-online.com/security/

1 Kommentar

Hinterlasse einen Kommentar

Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.