Start Apple Nichts zeichnen: Beliebte App öffnet Ihr Facebook für Datendiebstahl

Nichts zeichnen: Beliebte App öffnet Ihr Facebook für Datendiebstahl

78
0


50 Millionen Menschen haben OMGPOPs heruntergeladen Zeichne etwas in den letzten zwei Monaten und steht an der Spitze der App Store-Charts. Aber für diejenigen von uns, die unsere Facebook-Konten mit der App verbunden haben, gibt es ein noch größeres Problem: Sie speichert einen Facebook-Zugriffstoken im Klartext.

Willst du das in einfachem Englisch? Ein Hacker bekommt diese kleine Datei und er hat Zugriff auf Ihre privaten Daten.

Das Thema wurde entdeckt von Webentwickler Gareth Wright, während er untersucht, wie Entwickler mobiler Anwendungen mit Sicherheit umgehen. Er stellte fest, dass er aufgrund von Draw Something, das Offline-Zugriff auf Ihr Konto anforderte, einige durchführen konnte FQL (Facebooks Version von SQL, einer Datenbankabfragesprache) Abfragen und holten private Informationen von seinem Facebook-Konto.

Die Zugriffstoken sind 60 Tage gültig, geben aber dennoch Anlass zur Sorge. „Außerdem könnte ein einfaches .net-Tool diese Informationen leicht knacken und eine Menge bestätigter E-Mail-Adressen und Marketinginformationen sammeln“, Wright überlegt in einem Blogbeitrag.

Benutzer von iPhones mit und ohne Jailbreak sind durch dieses Sicherheitsproblem gefährdet. Diejenigen, die einen Jailbreak durchgeführt haben, sind aufgrund der Sicherheitsmaßnahmen des Geräts, das kompromittiert wurde, und der Tatsache, dass Apps mit Jailbreak nicht so viel Aufsicht über bösartigen Code haben wie Apps, die über den App Store heruntergeladen wurden, stärker gefährdet. Code könnte geschrieben werden, um dieses Zugriffstoken zu finden und an einen Hacker zu senden, der dann in der Lage wäre, dasselbe zu tun wie Wright.

Draw Something ist bei weitem nicht der schlimmste Täter: Diese Ehre geht tatsächlich an Facebook selbst. Wright fand in den Datendateien der App des Social-Networking-Unternehmens nicht nur das gleiche Zugriffstoken, sondern auch einen Autorisierungsschlüssel, der den Schlüssel zum Einloggen in Ihr Konto darstellt. Diese Datei ist auch im Klartext und kann auf einem anderen Gerät verwendet werden, um sich bei Ihrem Konto anzumelden und als Sie zu posten.

Im Gegensatz zur Desktop-Version löst Facebook keine Straßensperren aus, wenn von einem Ort aus zugegriffen wird, den es verdächtig hält. Somit ist Ihr Konto mit einem iOS-Gerät (oder sogar einem Emulator) ein offenes Buch.

Facebook bestätigt, dass das Problem bekannt ist, sagt aber nur: „Wir arbeiten daran, es zu beheben“. Es werden keine weiteren Informationen darüber gegeben, wann das Loch geschlossen werden könnte. Wright hat bereits mehrere Proof-of-Concept-Exploits erstellt und konnte über 1.000 anfällige Zugriffstoken und Autorisierungsschlüssel sammeln.

„Wenn App-Entwickler nicht nachziehen und damit beginnen, die 60-Tage-Zugriffstoken, die Facebook liefert, zu verschlüsseln, ist es nur eine Frage der Zeit, bis jemand die Informationen für üble Zwecke verwendet … falls er es nicht bereits ist“, schreibt er.



Vorheriger ArtikelMachen Sie sich bereit für Commerce-as-a-Service: NetSuite bringt den Verkauf in die Cloud
Nächster ArtikelFacebook Messenger für Windows Phone erhält neue Funktionen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein