Facebook beseitigt ruhig eine massive Sicherheitslücke, Millionen potenziell betroffen [News]
Facebook hat von Symantec geltend gemachte Behauptungen über Millionen von Durchsickern bestätigt “Zugriffstoken”. Diese Token ermöglichen einer Anwendung den Zugriff auf persönliche Informationen und Änderungen an Profilen, wobei im Wesentlichen Dritte dazu aufgefordert werden “Ersatzschlüssel” zu Ihrem Profil Informationen, Fotos, Wand und Nachrichten.
Es wurde nicht bestätigt, ob diese dritten Parteien (hauptsächlich Werbetreibende) über die Sicherheitslücke Bescheid wussten, obwohl Facebook Symantec inzwischen mitgeteilt hat, dass der Fehler behoben wurde. Der Zugriff, der über diese Schlüssel gewährt wird, könnte sogar dazu benutzt worden sein, um die persönlichen Daten der Benutzer zu ermitteln. Dies weist darauf hin, dass die Sicherheitslücken auf 2007 zurückgehen könnten, als Facebook-Anwendungen gestartet wurden.
Symantec-Mitarbeiter Nishant Doshi sagte in einem Blogeintrag:
“Wir schätzen, dass im April 2011 fast 100.000 Anwendungen dieses Lecken ermöglichten. Wir gehen davon aus, dass Hunderttausende von Anwendungen möglicherweise unbeabsichtigt Millionen von Zugriffstoken an Dritte weitergegeben haben.”
Nicht ganz Sony
Zugriffstoken werden gewährt, wenn ein Benutzer eine Anwendung installiert und dem Dienst Zugriff auf seine Profilinformationen gewährt. In der Regel verfallen die Zugriffsschlüssel mit der Zeit, obwohl viele Anwendungen einen Offline-Zugriffsschlüssel anfordern, der sich erst ändert, wenn ein Benutzer ein neues Kennwort festlegt.
Obwohl Facebook solide OAUTH2.0-Authentifizierungsmethoden verwendet, werden immer noch einige ältere Authentifizierungsschemata akzeptiert, die wiederum von Tausenden von Anwendungen verwendet werden. Es sind diese Anwendungen, die veraltete Sicherheitsmethoden verwenden, die möglicherweise unbeabsichtigt Informationen an Dritte weitergegeben haben.
Nishant erklärt:
“Die Anwendung verwendet eine clientseitige Umleitung, um den Benutzer an das vertraute Dialogfeld für Anwendungsberechtigungen weiterzuleiten. Dieses indirekte Leck könnte auftreten, wenn die Anwendung eine ältere Facebook-API verwendet und die folgenden veralteten Parameter verwendet, “return_session = 1” und “session_version = 3 "als Teil ihres Weiterleitungscodes.”
Wenn diese Parameter verwendet wurden (Abbildung oben), würde Facebook eine HTTP-Anfrage mit Zugriffstoken innerhalb der URL zurücksenden. Als Teil des Verweisschemas wird diese URL wiederum an Dritte weitergegeben, einschließlich des Zugriffstokens (siehe Abbildung unten)..
Benutzer, die besorgt sind, dass ihre Zugriffsschlüssel wirklich undicht durchgesickert sind, sollten ihre Kennwörter sofort ändern, um das Token automatisch zurückzusetzen.
Im offiziellen Facebook-Blog gab es keine Neuigkeiten über den Verstoß. Zwar wurden im Entwickler-Blog überarbeitete Methoden zur Authentifizierung von Anwendungen veröffentlicht, sodass alle Websites und Anwendungen zu OAUTH2.0 wechseln müssen.
Sind Sie über Internet-Sicherheit paranoid? Sagen Sie in den Kommentaren zum aktuellen Stand von Facebook und zur Online-Sicherheit!
Bildnachweis: Symantec
Erfahren Sie mehr über: Facebook.