Ein Sicherheitsforscher hat mehrere Lücken in Facebooks System gefunden, die es einem Entwickler erlauben, auf Daten beliebiger Facebook-Mitglieder zuzugreifen. Einem Blogeintrag von Nir Goldshlager zufolge stecken die Fehler in der Verwaltung der Berechtigungen, die eine App vom Nutzer erhält, damit sie dessen Daten abrufen und verarbeiten kann.
Eine dieser Anfälligkeiten, die er an Facebook gemeldet habe, sei inzwischen beseitigt worden, schreibt Goldshlager, der sich beruflich mit dem Auffinden von Sicherheitslücken beschäftigt. Facebooks Authentifizierungsdienst OAuth sei aber weiterhin unsicher. „Ich habe noch mehr OAuth-Fehler gefunden und warte nur auf einen Fix, damit ich darüber schreiben kann.
Facebook wollte sich nicht zu den anderen, von Goldshlager angesprochenen Fehlern äußern. Es teilte lediglich mit, die zuerst von ihm entdeckte Schwachstelle sei von keinem Facebook-Entwickler missbraucht worden. Unklar ist, wann Goldshlager das Social Network über die Sicherheitsprobleme informiert hat.
„Wir applaudieren dem Sicherheitsforscher, der uns auf diesen Fehler aufmerksam gemacht hat“, heißt es in einer E-Mail eines Facebook-Sprechers an News.com. Durch den verantwortungsvollen Umgang des Forschers mit dem Fehler gebe es keine Hinweise auf einen Missbrauch. „Wir haben dem Forscher eine Prämie gezahlt, um ihm für seinen Beitrag zur Sicherheit von Facebook zu danken.“
Goldshlager war seinem Blogeintrag zufolge in der Lage, sogenannte Access Tokens zu stehlen und sich damit als Entwickler auszugeben. Anschließend habe er alle Nachrichten, Fotos und Videos eines Nutzers abrufen und dessen Profil verwalten können. Das sei sogar mit Profilen möglich gewesen, die nie eine zusätzliche App installiert hätten. Facebooks eigene Apps wie der Messenger seien ausreichend. Zudem seien die Tokens für den Facebook Messenger unbegrenzt gültig. Das Token einer App eines Drittanbieters verfalle hingegen, sobald ein Opfer sein Passwort ändere.
Einen ähnlichen Fehler in Googles Android-Marktplatz Play hatte ein australischer Entwickler vor rund zwei Wochen gemeldet. Er erhielt Zugriff auf sämtliche Kundendaten der Käufer seiner Apps. „Das ist ein schlimmes Versehen von Google“, schreibt er in seinem Blog. „Unter keinen Umständen sollte ich diese Daten zu sehen bekommen, außer die Leute stimmen dem zu und wissen auch ganz genau, dass ich ihre Daten erhalte.“ An Google richtete er sich mit den Worten: „Behebt das. Sofort.“
[mit Material von Donna Tam, News.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
