Die Facebook Platform (Logo siehe Bild) dürfte in etwa so löchrig sein wie Schweizer Käse: Nachdem bereits im Oktober 2010 bekannt wurde, dass Facebook-Apps Nutzerdaten weitergeben (mein Blogeintrag dazu hier), hat jetzt die Security-Firma Symantec eine neue Sicherheitslücke entdeckt. In im offiziellen Blog ist die Rede davon, dass bis April 2010 100.000 Facebook-Applikationen Dritten – vor allem Werbefirmen – „aus Versehen“ Zugang zu Nutzerkonten gegeben hätten. Betroffen sollen Anwendungen sein, die mit Hilfe der HTML-Technologie „IFRAME“ angezeigt wird. Diese dient dazu, um Werbung oder Inhalte anderer Anbieter in eine Webseite einzubinden – eben so, wie Games direkt auf Facebook gespielt werden können. Theoretisch hätten Fremde Fotos und Chats einsehen und im Namen der Nutzer posten können. „Glücklicherweise hat offenbar kaum jemand davon Wind bekommen, dass diese Lücke besteht“, schreibt Symantec.
Token wurden weitergegeben
Wer eine App – z.B. ein Spiel oder eine Chatanwendung – verwenden will, muss ihr einige Rechte einräumen, etwa personenbezogene Informationen auslesen, auf die Pinnwand zugreifen oder die Freundesliste durchsuchen. In der Kommunikation zwischen dem eigenen Browser und den Servern des App-Anbieters werden dann, wie es Symantec detailliert darstellt, verschiedene Informationen ausgetauscht. Dabei wird auch ein so genannter „Token“ oder „Spare Key“ (Ersatzschlüssel) an die App weitergegeben, damit diese automatisiert das eigene Profil zugreifen kann, um zum Beispiel einen neuen Highscore im Namen des Nutzers zu posten.
Altes OAuth ist schuld
Betroffen sind alle Apps, die nicht das seit 1. Oktober 2010 von Facebook vorgegebene Authentifizierungsprotokoll OAuth 2.0 verwenden. Weil der Token in dem Hin und Her zwischen Computer des Nutzers und den Servern nicht verschlüsselt in die URL eingeschrieben wird, könnte es passieren, dass Dritte diesen Schlüssel auslesen – also etwa Werbefirmen, die Anzeigen in der App schalten. Laut Symantec gebe es keine Möglichkeit, wie viele der Token seit dem Start der Facebook Platform 2007 enthüllt wurden. Ein Facebook-Sprecher sagte zu cnet, dass damit irgendwelche Aktionen getätigt worden seien, die die Nutzungsbedingungen von Facebook verletzt hätten. Der Facebook-Entwickler Naitik Shah in einem offiziellen Blogeintrag eine neue Roadmap veröffentlicht, die vorsieht, dass bis 1. September 2011 alle Apps auf OAuth 2.0 und HTTPS-Verschlüsselung wechseln müssen.
Schutz für die Nutzer
Wer auf Nummer Sicher gehen will, sollte sein Passwort sofort ändern. Außerdem ist es ratsam die HTTPS-Verschlüsselung aufzudrehen („Kontoeinstellungen“ -> „Kontosicherheit“). Derzeit nutzen laut Facebook nur 9,6 Millionen Facebook-Mitglieder der HTTPS-Verschlüsselung. Außerdem kann man generell jeder jemals eingeschalteten App den Zugriff auf die eigenen Daten verweigern („Privatsphäreeinstellungen“ -> „Anwendungen und Webseiten“ -> „Alle Plattform-Anwendungen deaktivieren“).