News & Rumors: 10. April 2012,

Facebook- und Dropbox-App mit Sicherheitslücke, Logindiebstahl bei physischem Zugriff möglich

App StoreEine Sicherheitslücke wurde in den Apps von Facebook und Dropbox gefunden. Damit ist es möglich, sich das Login eines fremden Anwenders zu ergaunern, ohne das Passwort oder die E-Mail-Adresse zu kennen. Alles, was man benötigt, ist der direkte Zugriff auf das iOS-Gerät.

Gareth Wright hat herausgefunden, dass Facebook die oAuth-Daten, die für ein Facebook-Login benötigt werden, unverschlüsselt auf dem iOS-Gerät ablegt. Es ist also möglich, mit vergleichsweise geringem Aufwand die Facebook-Identität eines Opfers zu stehlen. Dafür benötigt man jedoch Zugriff auf das Gerät selbst, denn das Auslesen geschieht entweder über eine andere App oder ein USB-Kabel – beides sind Fälle, die sich ein Anwender eher nicht freiwillig antut.

Facebook hat versucht, sich zu verteidigen, allerdings nur mit mäßigem Erfolg. Die Betreiber des sozialen Netzwerks ließen verlauten, dass man sein Gerät jailbreaken müsse, um von dieser Lücke betroffen zu sein, andernfalls müsse man es verlieren, eine manipulierte App installieren oder das Gerät aus der Hand geben. Was Facebook nicht bedenkt, ist die Möglichkeit, dass der eigene Computer unter dem Einfluss eines Trojaners steht. Mit Programmen wie iExplorer ist es jedenfalls kein Problem, an die Daten heranzukommen, selbst wenn das Gerät nicht modifiziert wurde.

Wie The Next Web berichtet, ist Facebook aber nicht das einzige Opfer einer solchen Sicherheitslücke. Auch Dropbox ist für einen Logindiebstahl anfällig. Hierbei wird übrigens nicht das Passwort an sich kopiert, das auf dem Gerät nicht zu finden ist, sondern der oAuth-Key, mit dem sich das Gerät gegenüber dem Server ausweist. Das Resultat ist aber über weite Strecken dasselbe: Außer Funktionen, die sicherheitshalber doch noch einmal nach dem Passwort fragen, lassen sich betroffene Dienste dann im Namen anderer nutzen.

Einen Lichtblick gibt es immerhin: Wenn das iPhone, der iPod touch oder das iPad mit einer Codesperre versehen ist, gibt es kein einfaches Auslesen der oAuth-Keys mehr. Unknackbar ist die Codesperre zwar auch nicht, aber wenn man den Code hinreichend lang wählt, dürfte sich ein solcher Angriff kaum noch lohnen.

[via Mac Rumors]
Facebook- und Dropbox-App mit Sicherheitslücke, Logindiebstahl bei physischem Zugriff möglich
4 (80%) 10 Bewertungen

Ähnliche Beiträge

Q4 2016: Apple gibt Quartalszahlen am 27. Oktober ... Apple hat angekündigt, wann die Quartalszahlen für das vierte Fiskalquartal 2016 bekanntgegeben werden. Es wird der 27. Oktober 2016 sein. Dann ist mi...
iTunes-Backups für iOS 10 lassen sich viel leichte... Es hat durchaus seinen Reiz, die Daten des iPhones mit iTunes (statt mit iCloud) zu sichern. Wenn die Verschlüsselung aktiviert wird, werden Passwörte...
iPhone 7: Nachfrage hoch, für Verkaufsrekord wird ... Es ist beinahe egal, wen man fragt: Das iPhone 7 genießt eine hohe Nachfrage. Dazu reicht bereits ein Blick in die Lieferzeiten im Apple Store, aber m...
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.






Zuletzt kommentiert



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>