Facebook speichert unsichere Authentifizierungstoken in iPhone-Backups
Im letzten Monat standen eine Handvoll iOS-Apps im Hinblick auf Sicherheitslücken und iPhone-Tracking im Rampenlicht. Jetzt ist Facebook an der Reihe, obwohl das fragliche Problem auch für viele andere soziale Netzwerke wie LinkedIn, Dropbox und Apps gilt, die diese Websites zur Authentifizierung von Benutzern unter iOS verwenden.
Der Sicherheitsforscher Gareth Wright stellte fest, dass die iOS-App von Facebook Authentifizierungstoken in einer einfachen Textdatei speichert. Diese Token entsprechen dem Kennwort, mit dem Sie sich anmelden.
Das Speichern von Authentifizierungstoken in einem Backup ist nicht unbedingt eine schlechte Idee. Wenn Sie Ihr Telefon aus einer Sicherungskopie wiederherstellen müssen, ist es schließlich schön, wenn Sie sehen, wie alles angemeldet war, und das Token ist dazu erforderlich. Sie können sehen, wie dies mit der aktuellen Implementierung von Facebook funktioniert:
- Melden Sie sich bei der Facebook-App auf Ihrem iPhone an und sichern Sie sie mit iTunes
- Melden Sie sich von der Facebook-App auf Ihrem iPhone ab (gehen Sie zum unteren Rand des linken Menüs und klicken Sie auf
Settings
→Log Out
- Stellen Sie das iTunes-Backup auf Ihrem Telefon wieder her
Sie werden sehen, dass Sie wieder angemeldet sind.
Der Weg zur Hölle ist mit guten Absichten gepflastert
Ob Facebook sein Authentifizierungstoken im Backup speichert, ist nicht das Hauptproblem. Das größte Problem hierbei ist, dass das Token nicht verschlüsselt ist , kein gerätespezifisches Element enthält und nicht zeitlich begrenzt ist . Das bedeutet, dass jemand die Datei aus Ihrem Backup ziehen und auf sein eigenes Gerät importieren kann. In einfachen Worten, jeder, der auf diese Datei zugreifen kann, kann uneingeschränkt auf Ihr Facebook-Konto zugreifen und es verwenden, um Ihre Identität zu stehlen oder Ihre Aktivitäten zu verfolgen.
Darüber hinaus verwenden viele Apps und Dienste von Drittanbietern Facebook als Authentifizierungsdienst. Wenn ein Hacker bereits in Ihrem Facebook-Konto angemeldet ist, kann er auch über dieses Konto auf diese Dienste zugreifen.
Facebook hat Nachrichtenagenturen mit dem folgenden Kommentar geantwortet, obwohl sie die Wahrscheinlichkeit von unsicherem Backup-Hacking, das unserer Meinung nach die einfachste Methode ist, auszulassen scheinen.
Die iOS- und Android-Anwendungen von Facebook sind nur für die Verwendung mit dem vom Hersteller bereitgestellten Betriebssystem vorgesehen. Zugriffstoken sind nur dann anfällig, wenn sie ihr mobiles Betriebssystem (z. B. iOS mit Jailbreak oder Android mit Modifikation) geändert oder einem böswilligen Akteur Zugriff auf das physische Gerät gewährt haben. Wir entwickeln und testen unsere Anwendung auf einer unveränderten Version mobiler Betriebssysteme und verlassen uns auf den nativen Schutz als Grundlage für Entwicklung, Bereitstellung und Sicherheit, die alle auf einem Gerät mit Jailbreak gefährdet sind. Wie Apple feststellt, "könnte eine nicht autorisierte Änderung von iOS Hackern ermöglichen, persönliche Informationen zu stehlen ... oder Malware oder Viren einzuführen." Um sich selbst zu schützen, empfehlen wir allen Benutzern, das mobile Betriebssystem nicht zu ändern, um Instabilitäten oder Sicherheitsprobleme bei Anwendungen zu vermeiden.
Solltest du dir Sorgen machen? Um diese Datei zu erhalten, muss die Person physischen Zugriff auf Ihr iOS-Gerät oder einen PC mit einer unverschlüsselten gespeicherten Sicherung haben. Ein gelegentlicher Hacker hat möglicherweise keinen Zugriff auf diese, aber ein entschlossener Hacker ist möglicherweise in der Lage, einen solchen Zugriff zu arrangieren.
Offensichtlich könnten App-Publisher wie Facebook Folgendes tun:
- Wenden Sie zusätzliche Verschlüsselung auf Authentifizierungstoken im Backup an
- Stellen Sie sicher, dass die Token über ein gerätespezifisches Element verfügen, damit sie nicht auf anderen Geräten verwendet werden können
- Legen Sie fest, dass die Token in naher Zukunft ein Ablaufdatum haben
- Benachrichtigen Sie Benutzer über neue Anmeldungen bei einem Dienst von wiederhergestellten Token
Möchten Sie Ihr eigenes Facebook-Authentifizierungstoken überprüfen?
Verwenden Sie dazu den iPhone Backup Extractor und greifen Sie im "Expertenmodus" auf Ihr Backup zu. Sie können die Daten nicht lesen oder für die Anmeldung bei Facebook verwenden, es sei denn, Sie wissen, was Sie tun - und wir haben aus Sicherheitsgründen die Veröffentlichung dieser Informationen verweigert -, aber es ist nicht sehr aufwändig finde es heraus.