Facebook behebt gravierende Sicherheitslücke
Laut der Sicherheitsspezialisten von Symantec klaffte im sozialen Netzwerk Facebook eine eklatante Sicherheitslücke, die – zur Erleichterung vieler Nutzer – von potenziellen Angreifern wahrscheinlich unbemerkt blieb. Laut eigenen Angaben haben Facebook-Entwickler die Lücke inzwischen beseitigt.
Ganze vier Jahre, nämlich seit dem Start von Facebook im Jahr 2007, hätte der nun offen gelegte Sicherheitsmangel bestanden. Mit ihm war es möglich, die „Access tokens“ (Zugangsschlüssel) aller Facebook-Apps auszulesen, die in einem Inlineframe ausgeführt wurden. Im Anschluss an die Zustimmung durch den Benutzer, einer App bestimmte Berechtigungen zu gewähren, war es Dritten (etwa Werbetreibenden oder App-Anbietern) möglich, den verwendeten Schlüssel aus den HTTP-Header-Daten auszulesen. In der Zeile mit der Information zuvor aufgerufenen Seite („Referrer“) war diese wichtige Zeichenkette nur leicht maskiert vorhanden.
Im Endeffekt hätte ein Angreifer somit die gleichen Berechtigungen erlangen können, wie sie der Benutzer zuvor der jeweiligen Facebook-Anwendung eingeräumt hatte. Von bereits brisanten Informationen über die Person selbst reichen diese Rechte – je nach Machthunger der App – bis zur Erlaubnis zum Veröffentlichen von Beiträgen im Namen des Facebook-Nutzers oder den Zugriff auf die Kontaktliste.
Symantec geht jedoch davon aus, dass die Lücke nicht für solche Angriffe eingesetzt wurde. Seit einiger Zeit empfiehlt Facebook den Entwicklern die Verwendung von OAuth 2.0 zur Authentifizierung von Apps und für den Zugriff auf Benutzerdaten. Vor der Veröffentlichung habe man das Wissen an Facebook weitergegeben, wo das Problem inzwischen beseitigt wurde. Außerdem sollen App-Entwickler ihre Anwendungen bis spätestens Ende September auf OAuth 2.0 umstellen, welches höhere Sicherheit gewährt.