Facebook: Lücken in OAuth ermöglichen Zugriff auf beliebige Konten

MarketingSicherheitSicherheitsmanagementSoziale Netzwerke

In dem für die Authentifizierung genutzten Protokoll OAuth stecken offenbar gleich mehrere Fehler. Sie sind Facebook bekannt. Entwickler erhalten darüber Einblick in Nachrichten, Fotos und Videos eines Nutzers. Mindestens eine Lücke wurde bereits geschlossen.

Der Sicherheitsforscher Nir Goldshlager hat mehrere Lücken bei Facebook gefunden, die es Entwicklern erlauben, auf Daten beliebiger Facebook-Mitglieder zuzugreifen. Die Fehler stecken in der Verwaltung der Berechtigungen, die eine App vom Nutzer erhält, damit sie dessen Daten abrufen und verarbeiten kann.

Eine dieser Schwachstellen, die er an Facebook gemeldet habe, sei inzwischen beseitigt worden, schreibt Goldshlager, der sich beruflich mit dem Auffinden von Sicherheitslücken beschäftigt. Facebooks Authentifizierung auf Basis von OAuth sei aber weiterhin unsicher. “Ich habe noch mehr OAuth-Fehler gefunden und warte nur auf einen Fix, damit ich darüber schreiben kann.”

Facebook wollte sich zu den weiteren, von Goldshlager angesprochenen Fehlern, nicht äußern. Es teilte lediglich mit, die zuerst von ihm entdeckte Schwachstelle sei von keinem Facebook-Entwickler missbraucht worden. Unklar ist, wann Goldshlager das Social Network über die Sicherheitsprobleme informiert hat.

“Wir applaudieren dem Sicherheitsforscher, der uns auf diesen Fehler aufmerksam gemacht hat”, heißt es in einer E-Mail eines Facebook-Sprechers an News.com. Durch den verantwortungsvollen Umgang des Forschers mit dem Fehler gebe es keine Hinweise auf einen Missbrauch. “Wir haben dem Forscher eine Prämie gezahlt, um ihm für seinen Beitrag zur Sicherheit von Facebook zu danken.”

Goldshlager konnte über die Lücke sogenannte Access Tokens stehlen und sich damit als Entwickler ausgeben. Anschließend habe er alle Nachrichten, Fotos und Videos eines Nutzers abrufen und dessen Profil verwalten können. Das sei sogar mit Profilen möglich gewesen, die nie eine zusätzliche App installiert hatten. Facebooks eigene Apps wie der Messenger seien ausreichend. Zudem seien die Tokens für den Facebook Messenger unbegrenzt gültig. Der Token der App von Drittanbietern verfalle hingegen, sobald ein Nutzer sein Passwort ändere.

Die Auswertung der im Oktober 2012 veröffentlichten Allensbacher Computer- und Technik-Analyse 2012 (ACTA) zeigt, dass Internet- und Telekommunikationsunternehmen in punkto Datenschutz keinen guten Ruf haben. Amazon halten gerade einmal 27 Prozent für vertrauenswürdig, 21 Prozent glauben, dass Apple persönliche Daten nur im Sinne der Verbraucher verwendet und 19 Prozent trauen dies Google zu, am misstrauischsten sind die Befragten bei Facebook (Statista)
Die Auswertung der im Oktober 2012 veröffentlichten Allensbacher Computer- und Technik-Analyse 2012 (ACTA) zeigt, dass Internet- und Telekommunikationsunternehmen in punkto Datenschutz keinen guten Ruf haben. Am misstrauischsten waren die Befragten bei Facebook (Statista).

[mit Material von Donna Tam, News.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.