Sicherheitslücke in Facebook für Android ermöglicht Zugriff auf Facebook-Accounts

In den Anwendungen Facebook und Facebook Messenger für Android wurde eine Sicherheitslücke entdeckt, die es jeder Anwendung auf dem Gerät ermöglicht, den Access-Token für Facebook abzufangen. Ein ähnlicher Bug wurde in der Anwendung Facebook Pages Manager für Android gefunden, die zur Verwaltung mehrere Facebook-Accounts dient.

Die Sicherheitslücken wurden in diesem Jahr von Mohamed Ramadan, einem Experten bei Attack Secure, gefunden, der Facebook darüber informierte und dafür 6000 Dollar Belohnung erhielt. Die erste Sicherheitslücke besteht in der Methode, wie die Facebook-App und die Facebook Messenger-App für Android den Access-Token des Anwenders behandeln – das Schlüsselelement für den Zugriff auf den Facebook-Account.

Laut Ramadan kann die Sicherheitslücke es einer schädlichen Anwendung ermöglichen, den Access-Token zu erlangen, der auf dem Gerät des Anwenders gespeichert ist, und den Account des Facebook-Nutzers zu hacken.

„Stellen Sie sich einmal das folgende Szenario vor: Sie sind Facebook-User, Sie haben ein Android-Telefon/Tablet und Sie haben die Anwendung Facebook und den Messenger installiert. Sie erhalten dann eine Mitteilung von einem Freund oder irgendeinem anderen Facebook-Nutzer, Sie öffnen die Mitteilung, um sie zu lesen und sehen, dass sie einen Anhang enthält, beispielsweise ein Video, eine doc-, pdf-, pic- oder irgendeine andere Datei, die an eine Facebook-Mitteilung gehängt werden kann.“, schreibt Ramadan in seinem Blogpost, in dem er die Exploit-Szenarien erklärt.

„Sie klicken auf die Datei, um sie zu laden, und Ihr Zugriffs-Token für Ihren Facebook-Account fließt in das Android Logcat, das heißt, dass JEDE BELIEBIGE Android-Anwendung unbemerkt Ihren Facebook-Token lesen oder abfangen kann. Falls Sie nicht wissen, was Logcat ist – es ist ein in alle Android-Geräte integriertes Tool zum Sammeln der Logs von allen Android-Anwendungen.“, erläutert Ramadan.

Ramadan erklärt, dass der Access-Token für Facebook nicht abläuft, was bedeutet, dass die Gefahr auf unbestimmte Zeit fortbesteht, solange der Nutzer seine Facebook-Anwendung nicht aktualisiert.

Die zweite Schwachstelle befindet sich im Facebook Pages Manager für Android, der für die Verwaltung vieler verschiedener Facebook-Accounts entwickelt wurde. Die Anwendung, die bereits über 10 Millionen Mal installiert wurde, hat einen ähnlichen Fehler wie die Facebook-Hauptanwendung, doch in diesem Fall muss der Nutzer noch nicht einmal irgendeinen Code von irgendwoher laden oder starten.

Auch diese Sicherheitslücke wurde geschlossen und Ramadan teilte mit, dass die Nutzer umgehend ihre Anwendungen aktualisieren sollten, um sich vor Angriffen zu schützen. Früher im laufenden Jahr hatte Ramadan bereits eine Sicherheitslücke in den Anwendungen Facebook und Facebook Messenger entdeckt, die es Cyberkriminellen ermöglicht, sich Zugriff auf die Fotos der Nutzer zu verschaffen.

Quellethreatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.