Sicherheitslücke in der App von Face.com
Kaum wurde Face.com von Facebook übernommen, taucht auch schon die erste, inzwischen geschlossene Sicherheitslücke auf: Die App "KLIK" des Gesichtserkennungsdienstes hätte Angreifern Zugriff auf die Facebook- und Twitterkonten der Nutzer erlaubt.
In der App "KLIK“ des Gesichterkennungsdienstes Face.com ist eine Sicherheitslücke aufgedeckt worden, über die sich die Facebook- und Twitter-Accounts der Nutzer hätten hijacken lassen. Entdeckt hat die Lücke der Sicherheitsberater Ashkan Soltani, wobei er das Problem laut eigenen Angaben erst nach dessen Beseitigung publik gemacht hat.
KLIK dient dem Taggen, also dem Markieren von Gesichtern auf Bildern. Soltani will darin eine sehr basale Lücke bemerkt haben, die es erlaubte, die Informationen von KLIK-Nutzern abzurufen – inklusive der Authentifizierungs-Token für deren Facebook- und Twitter-Konten. Diese waren offenbar relativ ungeschützt auf den Servern von Face.com gespeichert. Damit hätte ein Angreifer leicht auf private Inhalte des Kontos wie etwa Fotos zugreifen können. Ebenso wäre es möglich gewesen, den Account zu übernehmen und zum Beispiel Statusmeldungen oder Tweets zu posten. Da KLIK einen Facebook-Account voraussetzt, wäre praktisch jeder Nutzer der App ein potenzielles Ziel gewesen, wie Soltani betonte.
Eine Stellungnahmen von Face.com liegt dazu nicht vor. Das israelische Startup wurde erst kürzlich von Facebook aufgekauft, wobei kein konkreter Kaufpreis genannt wurde. Laut eigenen Angaben verarbeitet das Unternehmen einige Milliarden Fotos monatlich. (axk)
