Lücke erlaubt Zugriff auf Facebook-Konten

Der Sicherheitsforscher Goldshlager beschreibt in seinem Sicherheits-Blog, wie es ihm gelungen ist, auf Access Tokens für Facebook-Apps zuzugreifen und sich darüber die Rechte als Entwickler zu erschleichen. Schließlich konnte er dann über Facebook-Apps wie Texas Holdem Poker, Diamond Dash und insbesondere über den Facebook-Messenger in die Berechtigungsverwaltung eindringen. Darüber konnte er dann ungestört auf sämtliche Nachrichten, Fotos und Videos von Facebook-Mitgliedern zugreifen sowie die Nutzer-Konten verwalten.

Ein großes Sicherheitsproblem sieht der Sicherheitsexperte darin, dass Facebook-Tokens wie der Facebook Messenger unbegrenzte Gültigkeit haben. Dies sei bei Tokens von Drittanbieter-Apps anders, denn diese verfallen automatisch, sobald ein Nutzer ein neues Passwort einsetzt.

Nach seinen Angaben hat Facebook die von ihm gemeldeten Lücken inzwischen geschlossen. Allerdings stecken noch weitere Sicherheitslücken im Authentifizierungsdienst „OAuth“, zu denen sich Facebook bislang nicht geäußert habe. Von Seiten des Konzerns heiße es lediglich, dass die Lücke, die Goldshlager zuerst entdeckt hatte, noch nicht aktiv ausgenutzt worden sei.