zurück zum Artikel

Facebooks-Apps verraten Zugangsdaten

Jo Bager

Facebook-Anwendungen haben über einen längeren Zeitraum hinweg Daten versehentlich verraten, mit denen die App-Anbieter auf das Konto hätten zugreifen können. Ursache ist ein Fehler in einer älteren API.

Sogenannte Facebook-iFrame-Applications haben laut Angaben des Sicherheitsspezialisten Symantec [1] über einen längeren Zeitraum hinweg Daten versehentlich verraten, mit denen die App-Anbieter auf das Konto hätten zugreifen können. Ursache des Problems ist laut Analyse ein Fehler in der älteren Facebook-API, mit der die Apps den Zugriff auf das Konto legitimieren. Erlaubt ein Anwender einer App den Zugriff auf sein Konto, erhält die App einen sogenannten Access-Token, den sie selbstständig erneuern kann.

Während des Login-Vorgangs kann es laut Symantec passieren, dass beim Aufruf eines Anwendungs-Servers das Access-Token fälschlicherweise in die URL einfügt wird. Lädt die App im nächsten Schritt etwa ein Werbebanner oder andere Inhalte nach, sendet sie die URL inklusive Access-Token im Referrer im HTTP-Request mit. Diese Daten landen dann vermutlich in der Log-Datei des Servers des jeweiligen App-Anbieters.

Symantec geht davon aus, dass dieses Problem von vielen App-Betreibern und deren Werbepartnern nicht bemerkt worden ist. Letztlich sei aber gar nicht abzuschätzen, wie viele Token seit dem Start der Facebook-Anwendungen im Jahre 2007 veröffentlicht worden seien. So hätten bis zu 100.000 Facebook-Apps durch den Fehler Zugriff auf die Tokens gehabt. Beunruhigten Facebook-Nutzern empfiehlt Symantec, ihr Facebook-Passwort zu ändern. Damit würden die aus Facebook herausgesickerten Token ihre Gültigkeit verlieren. Facebook hat das Problem mittlerweile behoben und Entwickler von Drittanbieter-Apps über die Änderungen informiert [2]. Bis zum 1. Oktober müssen Apps sich per OAuth 2.0 authentifizieren. (jo [3])

URL dieses Artikels:
https://www.heise.de/-1241261

Links in diesem Artikel:
[1] http://www.symantec.com/connect/blogs/facebook-applications-accidentally-leaking-access-third-parties
[2] https://developers.facebook.com/blog/post/497
[3] mailto:jo@ct.de

Copyright © 2011 Heise Medien