Facebook- und Dropbox-App mit Sicherheitslücke, Logindiebstahl bei physischem Zugriff möglich
Stefan Keller, den 10. April 2012Eine Sicherheitslücke wurde in den Apps von Facebook und Dropbox gefunden. Damit ist es möglich, sich das Login eines fremden Anwenders zu ergaunern, ohne das Passwort oder die E-Mail-Adresse zu kennen. Alles, was man benötigt, ist der direkte Zugriff auf das iOS-Gerät.
Gareth Wright hat herausgefunden, dass Facebook die oAuth-Daten, die für ein Facebook-Login benötigt werden, unverschlüsselt auf dem iOS-Gerät ablegt. Es ist also möglich, mit vergleichsweise geringem Aufwand die Facebook-Identität eines Opfers zu stehlen. Dafür benötigt man jedoch Zugriff auf das Gerät selbst, denn das Auslesen geschieht entweder über eine andere App oder ein USB-Kabel – beides sind Fälle, die sich ein Anwender eher nicht freiwillig antut.
Facebook hat versucht, sich zu verteidigen, allerdings nur mit mäßigem Erfolg. Die Betreiber des sozialen Netzwerks ließen verlauten, dass man sein Gerät jailbreaken müsse, um von dieser Lücke betroffen zu sein, andernfalls müsse man es verlieren, eine manipulierte App installieren oder das Gerät aus der Hand geben. Was Facebook nicht bedenkt, ist die Möglichkeit, dass der eigene Computer unter dem Einfluss eines Trojaners steht. Mit Programmen wie iExplorer ist es jedenfalls kein Problem, an die Daten heranzukommen, selbst wenn das Gerät nicht modifiziert wurde.
Wie The Next Web berichtet, ist Facebook aber nicht das einzige Opfer einer solchen Sicherheitslücke. Auch Dropbox ist für einen Logindiebstahl anfällig. Hierbei wird übrigens nicht das Passwort an sich kopiert, das auf dem Gerät nicht zu finden ist, sondern der oAuth-Key, mit dem sich das Gerät gegenüber dem Server ausweist. Das Resultat ist aber über weite Strecken dasselbe: Außer Funktionen, die sicherheitshalber doch noch einmal nach dem Passwort fragen, lassen sich betroffene Dienste dann im Namen anderer nutzen.
Einen Lichtblick gibt es immerhin: Wenn das iPhone, der iPod touch oder das iPad mit einer Codesperre versehen ist, gibt es kein einfaches Auslesen der oAuth-Keys mehr. Unknackbar ist die Codesperre zwar auch nicht, aber wenn man den Code hinreichend lang wählt, dürfte sich ein solcher Angriff kaum noch lohnen.
[via Mac Rumors]