100.000 Anwendungen
Facebook: Riesige Sicherheitspanne entdeckt
11.05.2011Wir zeigen Ihnen, wie Sie Ihre persönlichen Daten schützen können.
Beim beliebten Social Network Facebook hat seit rund vier Jahren eine schwere Sicherheitslücke bestanden - die erst jetzt geschlossen wurde. Die Gefahr ist jedoch noch nicht gebannt. Wie Sie sich schützen können, erfahren Sie weiter unten im Beitrag. Laut dem Computer-Sicherheitsspezialist Symantec hatten Werbekunden der Plattform seit 2007 (!) Zugriff auf Nutzerprofile. Durch den Zugang ließen sich demnach teils sämtliche Nutzerdaten lesen, verändern und auch Neues veröffentlichen.
Millionen Betroffene
Betroffen von der Sicherheitslücke sind laut Symantec potenziell alle Facebook-Nutzer, die sogenannte Facebook-Anwendungen (Apps) nutzen. Das sind Miniprogramme, die sich seit 2007 in das soziale Netzwerk integrieren lassen. Dabei handelt es sich etwa um Spiele oder um Anwendungen, die Umfragen unter Internetfreunden ermöglichen, Horoskope oder Sprüche des Tages liefern. Facebook-Nutzer installieren dem Netzwerk zufolge täglich 20 Millionen Apps.
Regelung
Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte einräumen. Dadurch kann die Anwendung beispielsweise Einträge im Namen des Nutzers veröffentlichen - also etwa den Spruch oder das Horoskop des Tages - oder die Liste von dessen Facebook-Freunden
auslesen. Teilweise gehen die Berechtigungen soweit, dass die Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps sogenannte Tokens - eine Art Ersatzschlüssel für die Facebook-Konten.
Um von dem Problem betroffen zu sein, mussten also Nutzer überhaupt erst einmal entsprechende Berechtigungen an Anwendungen erteilen. Viele Anwendungen haben die Tokens aber - nach Darstellung von Symantec unbewusst - an Werbepartner weitergegeben. Diese hätten damit also teilweise vollen Zugriff auf die Nutzerprofile erhalten.
"Glücklicherweise könnten diese dritten Parteien aber gar nicht bemerkt haben, dass sie auf die Informationen zugreifen konnten", erklärte Symantec. Es gebe auch keine Hinweise auf einen Missbrauch der Sicherheitslücke. Zuletzt seien noch schätzungsweise 100.000 Apps betroffen gewesen, über die vier Jahre waren es laut Symantec wohl hunderttausende.
So schützen Sie Ihre Daten
Symantec wies Facebook
auf das Problem hin, worauf das soziale Netzwerk die Sicherheitslücke nach eigenen Angaben schloss. Das heißt laut der Sicherheitsfirma aber nur, dass keine neuen Tokens weitergegeben werden können, alte Schlüssel hingegen behalten ihre Gültigkeit und öffnen weiter Tür und Tor zu Facebook-Profilen.
Facebook-Nutzer, die davon betroffen sein könnten, also alle die Apps verwenden, sollten deshalb ihr Passwort ändern. Nur so verlieren nämlich die alten Tokens ihre Gültigkeit. Mit einem neuen Passwort haben Dritte also keinen Zugriff mehr auf ihre Daten. Sie können auch keine persönlichen Fotos mehr ansehen, oder Nachrichten von fremden Konten versenden.
Kritik folgte prompt
Facebook erkannte die Sicherheitslücke an, bemängelte aber "Ungenauigkeiten" im Symantec-Bericht. Schließlich werde Missbrauch in den Vertragsbedingungen der Plattform untersagt: "Der Bericht ignoriert die vertraglichen Verpflichtungen von Werbepartnern und Entwicklern, die ihnen untersagen, Nutzerdaten in einer Art und Weise zu erhalten oder zu veröffentlichten, die unsere Vorgaben verletzt", erklärte Facebook.
Neue Standards
Kurz nach dem Bekanntwerden der Lücke kündigte die Plattform an, dass die Sicherheitsstandards für App-Anbieter in Zukunft massiv erhöht werden. So dürfen die Entwickler von Facebook-Apps ab September nur mehr das neue Autorisierungsprotokoll "OAuth 2.0" verwenden. Ab Oktober ist zudem ein SSL-Zertifikat Grundvoraussetzung für die Zulassung einer Anwendung.