ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Facebook behebt gravierende Sicherheitslücke

Benjamin Beckmann
52 Kommentare

Laut der Sicherheitsspezialisten von Symantec klaffte im sozialen Netzwerk Facebook eine eklatante Sicherheitslücke, die – zur Erleichterung vieler Nutzer – von potenziellen Angreifern wahrscheinlich unbemerkt blieb. Laut eigenen Angaben haben Facebook-Entwickler die Lücke inzwischen beseitigt.

Ganze vier Jahre, nämlich seit dem Start von Facebook im Jahr 2007, hätte der nun offen gelegte Sicherheitsmangel bestanden. Mit ihm war es möglich, die „Access tokens“ (Zugangsschlüssel) aller Facebook-Apps auszulesen, die in einem Inlineframe ausgeführt wurden. Im Anschluss an die Zustimmung durch den Benutzer, einer App bestimmte Berechtigungen zu gewähren, war es Dritten (etwa Werbetreibenden oder App-Anbietern) möglich, den verwendeten Schlüssel aus den HTTP-Header-Daten auszulesen. In der Zeile mit der Information zuvor aufgerufenen Seite („Referrer“) war diese wichtige Zeichenkette nur leicht maskiert vorhanden.

Im Endeffekt hätte ein Angreifer somit die gleichen Berechtigungen erlangen können, wie sie der Benutzer zuvor der jeweiligen Facebook-Anwendung eingeräumt hatte. Von bereits brisanten Informationen über die Person selbst reichen diese Rechte – je nach Machthunger der App – bis zur Erlaubnis zum Veröffentlichen von Beiträgen im Namen des Facebook-Nutzers oder den Zugriff auf die Kontaktliste.

Symantec geht jedoch davon aus, dass die Lücke nicht für solche Angriffe eingesetzt wurde. Seit einiger Zeit empfiehlt Facebook den Entwicklern die Verwendung von OAuth 2.0 zur Authentifizierung von Apps und für den Zugriff auf Benutzerdaten. Vor der Veröffentlichung habe man das Wissen an Facebook weitergegeben, wo das Problem inzwischen beseitigt wurde. Außerdem sollen App-Entwickler ihre Anwendungen bis spätestens Ende September auf OAuth 2.0 umstellen, welches höhere Sicherheit gewährt.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz