Jetzt registrieren » Login
« Login

Passwort vergessen?

« zurück zu "Android Blog & News"

Nov

22

Android Facebook App ein Sicherheitsrisiko?

von Bernd Sch am 22.11.2010 15:18:49 — 5.544 mal gelesen

Es gibt hier sicher schon einige, welche von der Firefox Extension Firesheep gehört haben. Mit dieser Extension kann man in freien WLAN-Netzwerken die Session zu Facebook oder anderen sozialen Netzwerken übernehmen und eigentlich ganz schön viel Unfug anrichten

Mit einer kurzen Google-Suche habe ich hierzu auch einen Blogpost gefunden. Diesen könnt Ihr hier lesen. 

Die Lösung wie man diesem Problem am Notebook oder Desktop entkommen kann ist, dass man für die Verbindung immer auf https zurück greift. Hierzu gibt es eine nützliche Firefox Extension der EFF.

Das Problem, welches ich dieses Wochenende aber bemerkt habe ist, dass die Android Facebook App auch nur http Verbindungen nutzt und es - soweit ich weiß - auch keine Möglichkeit gibt, die Verbindung auf https zu wechseln. Ich habe das ganze in meinem privaten WLAN-Netz und mit der Software Wireshark getestet!

Ich möchte hier also dazu aufrufen vorsichtig in freien WLAN Netzen zu sein, da es sehr leicht möglich ist, über die oben genannte Firefox Extension Zugriff zu fremden Accounts zu gelangen.
Schön wäre es aber natürlich nun, wenn Facebook für die App https verwenden wurde. Aber das wird wohl leider so schnell nicht passieren befürchte ich.

Quelle: Firesheep   |   Tags:   Android   Facebook   Security Flaws

Kommentare


Matze
22.11.2010 15:24:16

Allgemein wurde ja schon von vielen berichtet, dass auch zb FriendStream Passwörter unverschlüsselt überträgt.


Stefan Medack
22.11.2010 15:32:39

Bei Firebug gehts aber nicht um Passwörter oder Zugangsdaten sondern um den Session-Cookie der "gestohlen" wird.
Der Cookie ist in jedem Paket was zwischen FB und dir umher geht drin um dich als angemeldeten Nutzer auszuweisen. Klingt ja so ganz toll, aber wie ihr ja seht kann Firesheep dieses Cookie klauen und somit die Session von dem anderen Nutzer mitnutzen.
Funktioniert aber nur in offenen Netzen. Also müsst ihr euch bei verschlüsselten Verbindungen keine Gedanken über Http oder Https machen.


M.B.
22.11.2010 15:34:04

Das "?" hinter der Überschrift kannst du getrost weglassen - das ist dem Inhalt nach eine Aussage - keine Frage ;)
Und eine Sauerei - das ist ja kinderleicht...


Lukas M
22.11.2010 16:13:04 — geändert am 22.11.2010 16:13:19

OMG..:D Ich sitze hier grad in der Unibibliothek und hab das ganze mal gestartet zwecks Versuch und sehe unzählige FB-Accounts etc...Ich glaube, ich werf mal schnell den VPN-Client an;)

Das ist ja peinlich, wie einfach das wäre... schlimm...
Edit: und vielen dank für den hinweis


Martin Weber
22.11.2010 16:38:22

Es ist doch viel schlimmer das Android 2.2 (Froyo) einen Bug enthält der alle gespeicherten Passwörter an präparierte Webseiten überträgt. Wann bekommen ALLE das Update 2.2.1, und damit Sicherheit?

http://www.securityfocus.com/bid/42450
Hier steht 2.2 sei nicht betroffen, das gilt IMHO aber nur für 2.2.1 - Google gibt kein Changelog heraus, so das unbekannt ist was mit dem Update gefixt wurde.

Das Update wurde wenige Tage nachdem der Bug bekannt wurde veröffentlicht...


JPsy Droid
22.11.2010 17:59:56

Aus dem Link geht doch garnciht hervor das 2.2 überhaupt betroffen ist/war...?


Feylidor
22.11.2010 20:54:12

Jup, kinderleicht... schlimm schlimm...


Stefan S.
22.11.2010 21:07:57

Bei öffentlichen Wlan VPN nutzen wenn man die Möglichkeit hat.


Schwab
22.11.2010 23:17:26

lösung: garnicht erst bei facebook sein


Tobias S.
23.11.2010 00:17:51

Ähm, liegt das Problem nicht in der Facebook Software?
Es gibt doch diverse Möglichkeiten einen Cookie sofort unbrauchbar zu machen sobald sich die Computerkonfiguration ändert. Oder liest dass das Tool auch mit? Viel mehr Angst macht mir immer das Passwörter inklusive. Benutzer und Loginseite mit der richtigen Software blitzschnell gesammelt werden können wenn bei der Anmeldung nicht kurz ssl benutzt wird.


Johnson Detlev
23.11.2010 00:39:46

"lösung: garnicht erst bei facebook sein"
+1


Chris
23.11.2010 07:24:07

Der Meinung bin ich auch...:D


T. Smith
23.11.2010 07:35:12

Me too


Michel K.
23.11.2010 08:36:23

Geniale Lösung, wenn das nächste Sicherheitsproblem bei Onlinebanking bekannt wird, lass ich das auch bleiben. Oder email. Oder bei der Krankenkassenkarte. Oder beim neuen Perso. Einfach nicht benutzen, wow, genial.


Chris
23.11.2010 10:03:09

Naja FB is ja sowieso bekannt dafür das es nicht das sicherste is^^

Denke beim Perso wird das noch behoben und beim online Banking ???
Puh da hoff ich ma das das nie passiern wird,sonst muss ich wieder zur Bank largen...^^
Da hab ich kein Bock drauf..:D

greetz


Matze S.
23.11.2010 10:14:01

Naja..ich weiss warum ich bei Facebook und Konsorten nicht mitmache :)

Neuen Kommentar schreiben:

Du musst Dich einloggen oder jetzt registrieren,
um einen eigenen Kommentar zu schreiben!

Als eigenloggter User kannst Du auch die Reihenfolge der Kommentare ändern.

 
Anzeige
Blog abonnieren Add to Google

Bookmark / E-Mail

Klicke auf ein Icon, um diesen Artikel zu bookmarken.
» Diesen Artikel per E-Mail versenden

Verwandte Themen

Tags / Themen

Archiv

Android Forum

Allgemeines
Android
ASUS Android Devices
Google Nexus Android Devices
HTC Android Devices
Huawei Android Devices
LG Android Devices
Motorola Android Devices
Samsung Android Devices
Sony Ericsson Android Devices
Sonstige Android Devices
Android Tablets
Android Developer Forum

AndroidPIT unterstützen

Gefällt Dir AndroidPIT? Wir freuen uns, wenn Du uns unterstützt. Wie das geht? Klicke einfach auf die unten stehenden Links.

Weiterempfehlen

Gefällt Dir AndroidPIT? Dann empfiehl uns bitte weiter!

Fragen / Hilfe

Du hast Fragen zu AndroidPIT oder willst noch mehr erfahren? Diese Links helfen Dir vielleicht weiter...

Gesuchte Begriffe

Bookmarks

  Du liest gerade: Android Facebook App ein Sicherheitsrisiko? - AndroidPIT. Alle Zeitangaben in UTC+02:00. Es ist jetzt 09:01 Uhr.