Werbung
![Facebook repariert leise ein riesiges Sicherheitsloch, von dem Millionen potenziell betroffen sind [News] Facebook-Logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook hat Behauptungen von Symantec über Millionen von durchgesickerten „Zugriffstoken“ bestätigt. Mit diesen Token kann eine Anwendung auf persönliche Informationen zugreifen und Änderungen an Profilen vornehmen. Geben Sie im Wesentlichen Dritten den „Ersatzschlüssel“ für Ihre Profilinformationen, Fotos, Wand und Mitteilungen.
Es wird nicht bestätigt, ob diese Dritten (hauptsächlich Werbetreibende) von der Sicherheitslücke wussten, obwohl Facebook Symantec seitdem mitgeteilt hat, dass der Fehler behoben wurde. Der über diese Schlüssel gewährte Zugriff hätte sogar dazu verwendet werden können, die persönlichen Daten der Benutzer abzurufen. Dies weist darauf hin, dass die Sicherheitslücke auf das Jahr 2007 zurückgehen könnte, als Facebook-Anwendungen gestartet wurden.
Symantec-Mitarbeiter Nishant Doshi sagte in einem Blogeintrag:
“Wir schätzen, dass bis April 2011 fast 100.000 Anwendungen diese Leckage ermöglichten. Wir schätzen, dass im Laufe der Jahre Hunderttausende von Anwendungen versehentlich Millionen von Zugriffstoken an Dritte weitergegeben haben.”
Nicht ganz Sony
Zugriffstoken werden gewährt, wenn ein Benutzer eine Anwendung installiert und dem Dienst Zugriff auf seine Profilinformationen gewährt. Normalerweise verfallen Zugriffsschlüssel mit der Zeit, obwohl viele Anwendungen einen Offline-Zugriffsschlüssel anfordern, der sich erst ändert, wenn ein Benutzer ein neues Kennwort festlegt.
Obwohl Facebook solide OAUTH2.0-Authentifizierungsmethoden verwendet, werden einige ältere Authentifizierungsschemata weiterhin akzeptiert und wiederum von Tausenden von Anwendungen verwendet. Es sind diese Anwendungen, die veraltete Sicherheitsmethoden verwenden und möglicherweise versehentlich Informationen an Dritte weitergegeben haben.
Nishant erklärt:
„Die Anwendung verwendet eine clientseitige Umleitung, um den Benutzer zum vertrauten Dialogfeld für Anwendungsberechtigungen umzuleiten. Dieses indirekte Leck kann auftreten, wenn die Anwendung eine ältere Facebook-API verwendet und die folgenden veralteten Parameter "return_session = 1" und "session_version = 3" als Teil ihres Umleitungscodes aufweist.
![Facebook repariert leise ein massives Sicherheitsloch, von dem Millionen potenziell betroffen sind [News] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Wenn diese Parameter verwendet worden wären (siehe Abbildung oben), würde Facebook eine HTTP-Anfrage zurückgeben, die Zugriffstoken innerhalb der URL enthält. Im Rahmen des Empfehlungsschemas wird diese URL wiederum mit Zugriffstoken (siehe Abbildung unten) an Drittanbieter weitergegeben.
![Facebook repariert leise ein massives Sicherheitsloch, von dem Millionen potenziell betroffen sind [News] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Benutzer, die befürchten, dass ihre Zugriffsschlüssel wirklich durchgesickert sind, sollten ihre Kennwörter sofort ändern, um das Token automatisch zurückzusetzen.
Im offiziellen Facebook-Blog gab es keine Nachrichten über den Verstoß, obwohl seitdem überarbeitete Methoden zur Anwendungsauthentifizierung vorliegen wurde gepostet auf dem Entwicklerblog, bei dem alle Websites und Anwendungen auf OAUTH2.0 wechseln müssen.
Sind Sie paranoid in Bezug auf Internetsicherheit? Sagen Sie in den Kommentaren Ihre Meinung zum aktuellen Stand von Facebook und zur Online-Sicherheit im Allgemeinen!
Bildnachweis: Symantec
Tim ist ein freiberuflicher Schriftsteller, der in Melbourne, Australien, lebt. Sie können ihm auf Twitter folgen.
