Facebook speichert unsichere Authentifizierungstoken in iPhone-Backups

Veröffentlicht Aktualisierte

Im letzten Monat standen eine Handvoll iOS-Apps im Hinblick auf Sicherheitsschwächen und iPhone-Tracking im Rampenlicht. Jetzt ist Facebook an der Reihe, obwohl das Problem in vielen anderen sozialen Netzwerken wie LinkedIn, Dropbox und Apps, die diese Websites zur Authentifizierung von Benutzern auf iOS verwenden, zutrifft.

Sicherheitsforscher Gareth Wright fand heraus, dass Facebooks iOS-App Authentifizierungs-Token in einer einfachen Textdatei aufbewahrt. Diese Tokens entsprechen dem Passwort, mit dem Sie sich anmelden.

Das Speichern von Authentifizierungstokens in einer Sicherung ist nicht unbedingt eine schlechte Idee. Wenn Sie Ihr Telefon aus einer Sicherungskopie wiederherstellen müssen, ist es nett zu sehen, wie alles angemeldet ist, und das Token ist dazu erforderlich. Sie können sehen, wie dies mit der aktuellen Implementierung von Facebook funktioniert:

  • Melden Sie sich auf Ihrem iPhone bei der Facebook-App an und sichern Sie sie mit iTunes
  • Melden Sie sich von der Facebook-App auf Ihrem iPhone ab (klicken Sie auf " Settings → " Log Out
  • Stellen Sie die iTunes-Sicherung auf Ihrem Telefon wieder her

Du wirst sehen, dass du wieder eingeloggt bist.

Der Weg zur Hölle ist mit guten Absichten gepflastert

Ob Facebook sein Authentifizierungstoken in der Sicherung speichert, ist nicht das Hauptproblem. Das größte Problem hierbei ist, dass das Token nicht verschlüsselt ist , kein gerätespezifisches Element besitzt und nicht zeitlich begrenzt ist . Das bedeutet, dass jemand die Datei aus Ihrem Backup ziehen und sie auf ihr eigenes Gerät importieren kann. Einfach gesagt, kann jeder, der auf diese Datei zugreifen kann, vollen Zugriff auf Ihr Facebook-Konto haben und damit Ihre Identität stehlen oder Ihre Aktivitäten verfolgen.

Darüber hinaus verwenden viele Apps und Dienste von Drittanbietern Facebook als Authentifizierungsdienst. Wenn ein Hacker bereits in Ihrem Facebook-Account angemeldet ist, kann er auch auf diese Dienste zugreifen.

Facebook hat den Nachrichtenagenturen mit dem folgenden Kommentar geantwortet, obwohl sie die Wahrscheinlichkeit eines unsicheren Backup-Hackings, das unserer Meinung nach die einfachste Methode ist, zu übersehen scheint.

Die iOS- und Android-Anwendungen von Facebook sind nur für die Verwendung mit dem vom Hersteller bereitgestellten Betriebssystem vorgesehen. Zugriffstoken sind nur anfällig, wenn sie ihr mobiles Betriebssystem (z. B. Jailbroken-iOS oder modifiziertes Android) geändert haben oder einem böswilligen Schauspieler Zugriff auf das physische Gerät gewährt haben. Wir entwickeln und testen unsere Anwendung auf einer unmodifizierten Version von mobilen Betriebssystemen und setzen auf den nativen Schutz als Grundlage für Entwicklung, Bereitstellung und Sicherheit. All dies wird durch ein Gerät mit Jailbroken-Funktion beeinträchtigt. Wie Apple feststellt, könnten "unbefugte Änderungen an iOS Hackern ermöglichen, persönliche Informationen zu stehlen ... oder Malware oder Viren einführen". Um sich selbst zu schützen, empfehlen wir allen Benutzern, ihr mobiles Betriebssystem nicht zu ändern, um Anwendungsinstabilität oder Sicherheitsprobleme zu vermeiden.

Sollten Sie sich Sorgen machen? Um diese Datei zu erhalten, muss die Person physischen Zugriff auf Ihr iOS-Gerät oder einen PC mit einem unverschlüsselten gespeicherten Backup haben. Ein zufälliger Hacker hat möglicherweise keinen Zugang zu diesen, aber ein entschlossener könnte diesen Zugang arrangieren.

App-Verlage wie Facebook könnten sich natürlich mit folgenden Punkten helfen:

  • Wenden Sie eine zusätzliche Verschlüsselung für Authentifizierungstoken bei der Sicherung an
  • Stellen Sie sicher, dass die Token über ein gerätespezifisches Element verfügen, sodass sie nicht auf anderen Geräten verwendet werden können
  • Legen Sie fest, dass die Tokens in naher Zukunft ein Ablaufdatum haben
  • Benachrichtigen Sie Benutzer über neue Logins für einen Dienst von wiederhergestellten Tokens

Möchten Sie Ihr eigenes Facebook-Authentifizierungs-Token prüfen?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor liest das Facebook-Authentifizierungs-Token

Sie können dies mit dem iPhone Backup Extractor tun und auf Ihr Backup im "Expertenmodus" zugreifen. Sie werden nicht in der Lage sein, die Daten zu lesen oder sich bei Facebook anzumelden, wenn Sie nicht wissen, was Sie tun - und wir haben die Veröffentlichung aus Sicherheitsgründen aus Sicherheitsgründen zurückgehalten - aber es dauert nicht viel finde es heraus.

About the author

Andy Coles has been building and documenting iPhone Backup Extractor since it was first released. He's made a number of discoveries in the field of data recovery, most notably techniques for transferring data between iPhone backups.

Reincubate CEO im Buckingham Palace

Oben abgebildet sind Mitglieder des Reincubate-Teams, die sich mit HM Queen Elizabeth Ⅱ im Buckingham Palace treffen, nachdem sie für unsere Arbeit mit Apple-Technologie den höchsten britischen Wirtschaftspreis erhalten haben. Lesen Sie unseren Standpunkt zu Datenschutz, Sicherheit und Sicherheit .

Wir haben über 3.000.000 Menschen geholfen, ihre verlorenen iPhone-Daten wiederherzustellen. Lassen Sie sich auch von uns helfen.

Verwandte Inhalte

Können wir diesen Artikel verbessern?

Wir hören gerne von Nutzern: Warum schicken Sie uns nicht eine E-Mail, schreiben Sie einen Kommentar oder tweeten Sie @reincubate?

© 2008 - 2019 Reincubate Ltd. Alle Rechte vorbehalten. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. Datenschutz. Wir empfehlen die Multi-Faktor-Authentifizierung. Mit Liebe in London gebaut.

close

Für persönliche Benutzer

Für Unternehmen und Probenutzer

Scrollen Sie nach unten für Geschäfts- und Pro-Pläne

Basic

$39.95

iTunes unterstützen

Funktioniert mit Windows und Mac

Kundensupport

Vorschau der iCloud-Geräteliste

KAUFEN BASIC

Prämie

$69.95

iCloud & iTunes unterstützen

Funktioniert mit Windows und Mac

Kundensupport

5 iCloud-Geräte

KAUFEN PREMIUM
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Forensik und iOS-Experte

Für Geschäfts- und Profianwender

Geschäft

$299.95

25 iCloud-Geräte

Kundenbetreuung mit hoher Priorität

Kommerzielle Lizenz

Die Vorteile unseres Premium-Plans

KAUFEN BUSINESS
ricloud logo
Demo unsere APIs für Unternehmen

Zugang zur iCloud, Forensik-Tools, Wiederherstellung von Datengroßbeständen und Wiederherstellung von gelöschten SQLite-Daten?

Kontaktieren Sie uns über unsere Apis reincubate.com.