Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
1 Min Lesezeit 16 Kommentare

Android Facebook App ein Sicherheitsrisiko?

Es gibt hier sicher schon einige, welche von der Firefox Extension Firesheep gehört haben. Mit dieser Extension kann man in freien WLAN-Netzwerken die Session zu Facebook oder anderen sozialen Netzwerken übernehmen und eigentlich ganz schön viel Unfug anrichten

Mit einer kurzen Google-Suche habe ich hierzu auch einen Blogpost gefunden. Diesen könnt Ihr hier lesen. 

Die Lösung wie man diesem Problem am Notebook oder Desktop entkommen kann ist, dass man für die Verbindung immer auf https zurück greift. Hierzu gibt es eine nützliche Firefox Extension der EFF.

Das Problem, welches ich dieses Wochenende aber bemerkt habe ist, dass die Android Facebook App auch nur http Verbindungen nutzt und es - soweit ich weiß - auch keine Möglichkeit gibt, die Verbindung auf https zu wechseln. Ich habe das ganze in meinem privaten WLAN-Netz und mit der Software Wireshark getestet!

Ich möchte hier also dazu aufrufen vorsichtig in freien WLAN Netzen zu sein, da es sehr leicht möglich ist, über die oben genannte Firefox Extension Zugriff zu fremden Accounts zu gelangen.
Schön wäre es aber natürlich nun, wenn Facebook für die App https verwenden wurde. Aber das wird wohl leider so schnell nicht passieren befürchte ich.

Quelle: Firesheep

16 Kommentare

Neuen Kommentar schreiben:
  • Naja..ich weiss warum ich bei Facebook und Konsorten nicht mitmache :)

  • Naja FB is ja sowieso bekannt dafür das es nicht das sicherste is^^

    Denke beim Perso wird das noch behoben und beim online Banking ???
    Puh da hoff ich ma das das nie passiern wird,sonst muss ich wieder zur Bank largen...^^
    Da hab ich kein Bock drauf..:D

    greetz

  • Geniale Lösung, wenn das nächste Sicherheitsproblem bei Onlinebanking bekannt wird, lass ich das auch bleiben. Oder email. Oder bei der Krankenkassenkarte. Oder beim neuen Perso. Einfach nicht benutzen, wow, genial.

  • Me too

  • Der Meinung bin ich auch...:D

  • "lösung: garnicht erst bei facebook sein"
    +1

  • Ähm, liegt das Problem nicht in der Facebook Software?
    Es gibt doch diverse Möglichkeiten einen Cookie sofort unbrauchbar zu machen sobald sich die Computerkonfiguration ändert. Oder liest dass das Tool auch mit? Viel mehr Angst macht mir immer das Passwörter inklusive. Benutzer und Loginseite mit der richtigen Software blitzschnell gesammelt werden können wenn bei der Anmeldung nicht kurz ssl benutzt wird.

  • lösung: garnicht erst bei facebook sein

  • Bei öffentlichen Wlan VPN nutzen wenn man die Möglichkeit hat.

  • Jup, kinderleicht... schlimm schlimm...

  • Aus dem Link geht doch garnciht hervor das 2.2 überhaupt betroffen ist/war...?

  • Es ist doch viel schlimmer das Android 2.2 (Froyo) einen Bug enthält der alle gespeicherten Passwörter an präparierte Webseiten überträgt. Wann bekommen ALLE das Update 2.2.1, und damit Sicherheit?

    http://www.securityfocus.com/bid/42450
    Hier steht 2.2 sei nicht betroffen, das gilt IMHO aber nur für 2.2.1 - Google gibt kein Changelog heraus, so das unbekannt ist was mit dem Update gefixt wurde.

    Das Update wurde wenige Tage nachdem der Bug bekannt wurde veröffentlicht...

  • OMG..:D Ich sitze hier grad in der Unibibliothek und hab das ganze mal gestartet zwecks Versuch und sehe unzählige FB-Accounts etc...Ich glaube, ich werf mal schnell den VPN-Client an;)

    Das ist ja peinlich, wie einfach das wäre... schlimm...
    Edit: und vielen dank für den hinweis

  • Das "?" hinter der Überschrift kannst du getrost weglassen - das ist dem Inhalt nach eine Aussage - keine Frage ;)
    Und eine Sauerei - das ist ja kinderleicht...

  • Bei Firebug gehts aber nicht um Passwörter oder Zugangsdaten sondern um den Session-Cookie der "gestohlen" wird.
    Der Cookie ist in jedem Paket was zwischen FB und dir umher geht drin um dich als angemeldeten Nutzer auszuweisen. Klingt ja so ganz toll, aber wie ihr ja seht kann Firesheep dieses Cookie klauen und somit die Session von dem anderen Nutzer mitnutzen.
    Funktioniert aber nur in offenen Netzen. Also müsst ihr euch bei verschlüsselten Verbindungen keine Gedanken über Http oder Https machen.

  • Allgemein wurde ja schon von vielen berichtet, dass auch zb FriendStream Passwörter unverschlüsselt überträgt.

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!