Android: Sicherheitslücke beim Facebook-Login

Android- und iOS-Nutzer, die sich über das sogenannte „Oauth“-Verfahren bei Facebook einloggen, bieten Hackern ungewollten Zugriff auf ihre Zugangsdaten. Das Problem ist schon seit einiger Zeit öffentlich bekannt, Facebook selbst äußert sich diesbezüglich aber recht unbesorgt und hat die Lücke auch nach wie vor nicht erfolgreich geschlossen. 

Das Unternehmen MetaIntell hatte erstmals auf das Problem aufmerksam gemacht. Es wies auch darauf hin, von der Lücke seien ein signifikanter Teil sowohl der 100 beliebtesten Android- und iOS-Apps betroffen. Zweifellos könnten demnach Millionen Nutzer der beiden Betriebssysteme betroffen sein.

Komfortabler Zugang gleich einfacher Datenklau

Entwickler können ihren Usern das Facebook-Login über Apps mit dem „Software Development Kit“, kurz SDK, möglich machen, das von Facebook zur Verfügung gestellt wird. Durch die Verwendung des OAuth-Verfahrens wird ein spezifischer Zugangsschlüssel kreiert. Diesen speichern die verwendeten Apps, damit die Facebook-Zugangsdaten nicht jedes Mal neu eingegeben werden müssen. Gleichzeitig wird verhindert, dass der User der App seine Zugangsdaten vollständig bekanntmachen muss. Das OAuth-Verfahren verspricht also eigentlich Komfort einhergehend mit erhöhtem Datenschutz.

Facebook relativiert das Risiko

Die grundsätzliche Gefahr geht aber nicht schon durch das Login bei Facebook über die Apps an sich aus. Vielmehr muss das Smartphone hierfür in den Händen des Hackers sein und mit einem anderen Gerät synchronisiert werden. Erst hierdurch wird es dem Hacker ermöglicht, den Zugangsschlüssel im Klartext zu lesen und so an die Zugangsdaten des Users zu gelangen. Facebook selbst erklärte lapidar, Android sei im derzeitigen Zustand sicher genug, für iOS erwäge man hingegen, den generierten Zugangsschlüssel auf eine andere Art und Weise aufzubewahren. Wer sein Smartphone zusätzlich schützen will sollte ein Android-Antivirenprogramm installieren um sich nachhaltig abzusichern.

Effektiver Schutz

Um sich persönlich der Sicherheitslücke definitiv nicht auszuliefern, bieten sich zwei hilfreiche Vorsichtsmaßnahmen an.

Smartphone-User sollten die Facebook-Anmeldung in Apps von externen Entwicklern vermeiden und vorzugsweise andere Arten des Zugangs nutzen, beispielsweise eine eigene E-Mail-Adresse

Angeraten ist die Kontrolle, welche Apps Smartphone-Nutzer in der Vergangenheit per Facebook-Login genutzt haben. Ist dies bei einer oder mehreren installierten Apps der Fall, sollten User diese Berechtigungen direkt entziehen um das zukünftige Risiko zu minimieren.

Langfristig ist das natürlich keine zufriedenstellende Lösung. Für App-Entwickler bestünde die Möglichkeit, den Zugangsschlüssel auf einem eigens gesicherten und verschlüsselten Online-Speicher aufzubewahren, um so den ungewollten Zugriff durch Dritte deutlich zu erschweren.

Gastartikel