Facebook kauft Face.com - und einen Bug

Der Sicherheitsberater Ashkan Soltani hat eine äußerst gefährliche Sicherheitslücke in der App von Face.com entdeckt. Nachdem der Fehler inzwischen behoben ist, wendet sich der Experte in seinem Blog an die Öffentlichkeit.

Face.com hat eine Software zur Erkennung von Personen auf Bildern entwickelt, die sogar den Gemütszustand in die biometrischen Berechnungen mit einbeziehen kann. Selbst das Alter einer Person kann Face.com damit auf einem Foto schätzen. Die iPhone-App KLIK ist für das Taggen der Gesichter zuständig.

Soltani hat bei der Nutzung der Face.com-App KLIK eine Sicherheitslücke gefunden, die Angreifern ermöglicht hätte, die Facebook- und Twitter-Konten der Nutzer zu übernehmen. Über Session-Hijacking war es möglich, die Kommunikationssitzung zwischen zwei Rechnern zu „entführen“. Sobald sich ein Kommunikationspartner dem anderen gegenüber authentifiziert, konnte der Angreifer die Vertrauensstellung ausnutzen, um die Privilegien des rechtmäßig authentifizierten Nutzers zu erlangen. Darüber wäre der Zugriff auch auf als privat gekennzeichnete Fotos oder Informationen möglich gewesen. Nach der Entdeckung hat Soltani Face.com, Facebook und Twitter kontaktiert und den Unternehmen Gelegenheit gegeben, das Problem zu beseitigen. Erst danach hat er Details in seinem Blog veröffentlicht.

Die Sicherheitslücke bei Face.com erinnert an den Angriff auf TweetGif, der Mitte Juni 2012 bekannt wurde. Hier waren Unbefugte in den Besitz von Daten gelangt, die ihnen den Zugriff auf die Twitter-Konten der Nutzer ermöglichten. Benutzer sollten daher grundsätzlich zurückhaltend sein und nicht den Überblick über Internet-Applikationen verlieren, denen Sie Zugriffsrechte auf ihre Facebook- oder Twitter-Konto erlaubt haben. Vor allem Diensten, die man vielleicht nicht mehr verwendet, sollten die Rechte entzogen werden. Umso mehr fremde Dienste Zugriff auf die Konten haben, desto größer ist das Risiko, durch Datendiebstahl oder Sicherheitslücken Opfer eines Angriffs zu werden.