Default post cover image

Facebook speichert unsichere Authentifizierungstoken in iPhone-Backups

Andrew Coles

von Andrew Coles

Im letzten Monat standen eine Handvoll iOS-Apps im Hinblick auf Sicherheitsschwächen und iPhone-Tracking im Rampenlicht. Jetzt ist Facebook an der Reihe, obwohl das Problem in vielen anderen sozialen Netzwerken wie LinkedIn, Dropbox und Apps, die diese Websites zur Authentifizierung von Benutzern auf iOS verwenden, zutrifft.

Sicherheitsforscher Gareth Wright fand heraus, dass Facebooks iOS-App Authentifizierungs-Token in einer einfachen Textdatei aufbewahrt. Diese Tokens entsprechen dem Passwort, mit dem Sie sich anmelden.

Das Speichern von Authentifizierungstokens in einer Sicherung ist nicht unbedingt eine schlechte Idee. Wenn Sie Ihr Telefon aus einer Sicherungskopie wiederherstellen müssen, ist es nett zu sehen, wie alles angemeldet ist, und das Token ist dazu erforderlich. Sie können sehen, wie dies mit der aktuellen Implementierung von Facebook funktioniert:

  • Logge dich in die Facebook App auf deinem iPhone ein und sichere es mit iTunes
  • Melden Sie sich von der Facebook App auf Ihrem iPhone ab (gehen Sie zum Ende des linken Menüs und klicken Sie auf Settings > Log Out )
  • Stellen Sie das iTunes-Backup auf Ihrem Telefon wieder her

Du wirst sehen, dass du wieder eingeloggt bist.

Der Weg zur Hölle ist mit guten Absichten gepflastert

Ob Facebook sein Authentifizierungstoken in der Sicherung speichert, ist nicht das Hauptproblem. Das größte Problem hierbei ist, dass das Token nicht verschlüsselt ist , kein gerätespezifisches Element besitzt und nicht zeitlich begrenzt ist . Das bedeutet, dass jemand die Datei aus Ihrem Backup ziehen und sie auf ihr eigenes Gerät importieren kann. Einfach gesagt, kann jeder, der auf diese Datei zugreifen kann, vollen Zugriff auf Ihr Facebook-Konto haben und damit Ihre Identität stehlen oder Ihre Aktivitäten verfolgen.

Darüber hinaus verwenden viele Apps und Dienste von Drittanbietern Facebook als Authentifizierungsdienst. Wenn ein Hacker bereits in Ihrem Facebook-Account angemeldet ist, kann er auch auf diese Dienste zugreifen.

Facebook hat Nachrichtenagenturen mit dem folgenden Kommentar geantwortet, obwohl sie die Wahrscheinlichkeit eines unsicheren Backup-Hackings auszulassen scheinen, was wir für die einfachste Methode halten.

Die iOS- und Android-Anwendungen von Facebook sind nur für die Verwendung mit dem vom Hersteller bereitgestellten Betriebssystem vorgesehen, und Zugriffstoken sind nur dann anfällig, wenn sie ihr mobiles Betriebssystem geändert haben (z. B. Jailbreak-iOS oder Modded Android) oder einem böswilligen Akteur Zugriff auf das physische Gerät gewährt haben. Wir entwickeln und testen unsere Anwendung auf einer unveränderten Version von mobilen Betriebssystemen und verlassen uns auf die nativen Schutzmaßnahmen als Grundlage für Entwicklung, Bereitstellung und Sicherheit, die auf einem Jailbreak-Gerät kompromittiert werden. Wie Apple erklärt, "könnten unautorisierte Änderungen an iOS Hackern erlauben, persönliche Daten zu stehlen ... oder Malware oder Viren einführen". Um sich selbst zu schützen, empfehlen wir allen Benutzern, ihr mobiles Betriebssystem nicht zu ändern, um Anwendungsinstabilität oder Sicherheitsprobleme zu vermeiden.

Sollten Sie sich Sorgen machen? Um diese Datei zu erhalten, muss die Person physischen Zugriff auf Ihr iOS-Gerät oder einen PC mit einem unverschlüsselten gespeicherten Backup haben. Ein zufälliger Hacker hat möglicherweise keinen Zugang zu diesen, aber ein entschlossener könnte diesen Zugang arrangieren.

App-Verlage wie Facebook könnten sich natürlich mit folgenden Punkten helfen:

  • Wenden Sie eine zusätzliche Verschlüsselung für Authentifizierungstoken bei der Sicherung an
  • Stellen Sie sicher, dass die Token über ein gerätespezifisches Element verfügen, sodass sie nicht auf anderen Geräten verwendet werden können
  • Legen Sie fest, dass die Tokens in naher Zukunft ein Ablaufdatum haben
  • Benachrichtigen Sie Benutzer über neue Logins für einen Dienst von wiederhergestellten Tokens

Möchten Sie Ihr eigenes Facebook-Authentifizierungs-Token prüfen?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor liest das Facebook-Authentifizierungs-Token

Sie können dies mit dem iPhone Backup Extractor tun und auf Ihr Backup im "Expertenmodus" zugreifen. Sie werden nicht in der Lage sein, die Daten zu lesen oder sich bei Facebook anzumelden, wenn Sie nicht wissen, was Sie tun - und wir haben die Veröffentlichung aus Sicherheitsgründen aus Sicherheitsgründen zurückgehalten - aber es dauert nicht viel finde es heraus.

Andrew Coles

von Andrew Coles on , last updated

Wir haben bereits über 3.000.000 Personen geholfen, ihre verlorenen iPhone-Daten wiederherzustellen. Lassen Sie uns auch Ihnen helfen.

Related posts

Senden Sie einen Kommentar

© 2008 - 2018 Reincubate Ltd. Registriert in England und Wales: #5189175, VAT GB151788978. Mit Liebe in London gebaut.

Reincubate ist eine eingetragene Marke. Alle Rechte vorbehalten. Terms & Bedingungen. Datenschutz-Bestimmungen. Es sind deine Daten, nicht unsere. Wir empfehlen die Multi-Faktor-Authentifizierung.

close

Für persönliche Benutzer

Für Unternehmen und Probenutzer

Scrollen Sie nach unten für Geschäfts- und Pro-Pläne

Basic

$34.95

iTunes unterstützen

Funktioniert mit Windows und Mac

Kundensupport

Vorschau der iCloud-Geräteliste

KAUFEN BASIC

Prämie

$69.95

iCloud & iTunes unterstützen

Funktioniert mit Windows und Mac

Kundensupport

5 iCloud-Geräte

KAUFEN PREMIUM
Jonathan

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Forensik und iOS-Experte

Für Business- und Pro-Benutzer

Business

$299.95

25 iCloud-Geräte

Kundendienst mit hoher Priorität

Kommerzielle Lizenz

Die Vorteile unseres Premium-Plans

KAUFEN BUSINESS
ricloud
Demo unsere APIs für Unternehmen

Zugang zur iCloud, Forensik-Tools, Wiederherstellung von Datengroßbeständen und Wiederherstellung von gelöschten SQLite-Daten?

Kontaktieren Sie uns über unsere Apis reincubate.com.