Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Nach dem Locationgate von Apple wird nun auch Facebook von einer schweren Datenpanne heimgesucht. So berichtet die Sicherheitsfirma Symantec in ihrem Blog, dass es in der Vergangenheit durch einen Fehler in der Autorisierung von Third Party Apps theoretisch möglich war, unbefugt Zugriff auf die Nutzerkonten von Facebook-Usern zuzugreifen. Diese Autorisierung wird unter anderem auch von iOS-Apps wie meiner genutzt, um z.B. Artikel oder sonstige Inhalte aus der App heraus auf der eigenen Pinwand zu posten. Durch den Fehler war es nun auch dem Nutzer unbekannte Webdiensten unter Umständen möglich Daten des jeweiligen Facebook-Nutzers abzufragen. Symantec schätzt die Zahl der von der Sicherheitslücke betroffenen Apps auf ca. 100.000. Facebook arbeite bereits mit Hochdruck an der Behebung des Problems. Im Zweifel rät Symantec dennoch zu einer Änderung des Facebook-Passworts.

Unterdessen sorgt auch ein Beitrag auf Wired (via Spiegel Online) für Wirbel. Hier wird beschrieben, wie es mithilfe der eindeutigen iPhone-ID (UDID) möglich ist, dem Gerät einen Benutzer mitsamt Namen, Geschlecht und sonstigen Informationen zuzuordnen. Hierzu wird die UDID mit einem Facebook-Konto verknüpft, um an die geünschten Daten zu gelangen. Auf diese Weise kann man dem realen Namen des jeweiligen Benutzers nicht nur dessen iPhone, sondern unter Umständen sogar den aktuellen Standort des Geräts zuordnen. Ein Vorgehen, welches in den AppStore Richtlinien von Apple explizit verboten wird. Der Entwickler Aldo Cortesi stellte allerdings fest, dass unter anderem das soziale Spielenetzwerk OpenFeint (ein Pendant zu Apples GameCenter), welches in viele AppStore-Spiele integriert ist, die UDID mitsamt der Facebook-ID und den letzten aufgezeichneten GPS-Koordinaten des Anwenders an die eigenen Server überträgt. Und an dieser Stelle wird die ganze Geschichte heikel. OpenFeint hat inzwischen reagiert und die Übertragung von Facebook-IDs und GPS-Koordinaten gestoppt, wodurch zumindest die Zuordnung eines Realnamens zu einem Gerät verhindert wird. Ein fader Beigeschmack bleibt dennoch, weswegen es ratsam ist, genau darauf zu achten, welchen Apps man Zugriff auf sein Facebook-Konto gewährt. Im Zweifel sollte man einmal überprüfen, welche Apps das eigentlich aktuell sind. Zu finden ist diese Einstellung bei Facebook unter "Konto > Privatsphäre-Einstellungen > Anwendungen und Webseiten". (mit Dank an Ulf für den Tipp!)