Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google Play: Android-Apps geben…

Wofür ist dieser Key?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wofür ist dieser Key?

    Autor: jjo 20.06.14 - 09:36

    Habe davon keine Ahnung. Was wird mit dem Key gemacht?
    Die Kommunikation nach Facebook & Co verschlüsselt?

  2. Re: Wofür ist dieser Key?

    Autor: Mingfu 20.06.14 - 10:06

    Wenn ich das richtig verstanden habe, ist es z. B. im Falle von Facebook so, dass man als Benutzer einer App bestimmte Rechte zum Zugriff auf das eigene Profil einräumen kann. Die App weist sich dazu gegenüber Facebook mit einem Token aus. Wenn ihr durch den Benutzer der Zugriff einmalig eingeräumt wurde, kann sie in Zukunft immer mit Hilfe ihres Tokens bei Facebook Aktionen im Namen des Benutzers auslösen, ohne dass sich der Benutzer extra anmelden müsste.

    Wenn man aber nun in Besitz dieses App-Tokens gelangen kann, weil dieses im Code der App selbst abgelegt ist, dann kann man sich in Zukunft natürlich selbst gegenüber Facebook als diese App ausgeben und damit bei allen Benutzern, die dieser App entsprechende Rechte für ihr Profil eingeräumt haben, die erlaubten Aktionen auslösen, ohne dass man eine Benutzeranmeldung bräuchte.

    Genau aus dem Grund weist Facebook in der Dokumentation zu diesen App-Tokens ausdrücklich darauf hin, dass diese nur für Zugriffe von einem Server aus verwendet werden dürfen, wo niemand Zugriff auf das Token selbst erlangen kann. Diese Token dürfen eigentlich nicht innerhalb von Apps oder Programmen ausgeliefert werden, die beim Endnutzer installiert werden, weil man es dort durch Decompilierung mehr oder weniger einfach erhalten kann. Aber welcher Entwickler liest schon die Anleitung... ;-)



    2 mal bearbeitet, zuletzt am 20.06.14 10:10 durch Mingfu.

  3. Re: Wofür ist dieser Key?

    Autor: r84 20.06.14 - 10:47

    Gut erklärt, genauso ist es.

  4. Re: Wofür ist dieser Key?

    Autor: Feuerbach 20.06.14 - 12:01

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    .
    >
    > Wenn man aber nun in Besitz dieses App-Tokens gelangen kann, weil dieses im
    > Code der App selbst abgelegt ist, dann kann man sich in Zukunft natürlich
    > selbst gegenüber Facebook als diese App ausgeben und damit bei allen
    > Benutzern, die dieser App entsprechende Rechte für ihr Profil eingeräumt
    > haben, die erlaubten Aktionen auslösen, ohne dass man eine
    > Benutzeranmeldung bräuchte.

    Schön und gut, aber was ich immer noch nicht verstanden habe ist was nun das große Problem an der Sache ist. Denn wie kommen die denn an diesen Token ran? Schön und gut dass der in meiner App gespeichert wird nachdem ich das zertifiziert habe. Ist sicherlich auch nicht optimal. Aber für den Hijack wird doch immer noch Direktzugriff auf mein Gerät oder zumindestens eine MITM-Attacke (wie bei "normalem" Session Hijacking) gebraucht, oder nicht? Mir ist ehrlich gesagt die Brisanz nicht so ganz klar, denn dass mam mit Direktzugriff und im selben WLAN Cookies und Active Logins klauen kann, ist nun alles andere als neu.

  5. Re: Wofür ist dieser Key?

    Autor: TTX 20.06.14 - 13:10

    Hm? Ne man zieht sich die APK, decompiliert sie, holt sich den Key raus und hat Zugriff auf die entsprechende Plattform, kann halt posten oder je nachdem was der Key darf. Ist aber kein Sicherheitsrisiko, weil das dem Entwickler sein Problem ist...UserAccounts betrifft das nicht. Das suggeriert nur die Golem Bild-Überschrift.

  6. Re: Wofür ist dieser Key?

    Autor: Mingfu 20.06.14 - 13:14

    Nein, das ist etwas anders.

    Es ist nicht so, dass ein individuelles Token dafür generiert wird, dass du einer App Zugriff auf dein Profil erlaubt hast. Sondern eine App hat ein statisches Token, welches sie gegenüber Facebook als diese App ausweist. Facebook speichert dann intern, welche Benutzer dieser App Zugriff auf ihr Profil erlaubt haben. Jeder, der also gegenüber Facebook dieses statische App-Token vorweisen kann, bekommt auf den Profilen der Benutzer, die dieser App bei Facebook Zugriffsrechte gewährt haben, von Facebook die entsprechenden Rechte eingeräumt.

    Wenn der App-Anbieter dieses Token also mit seiner App direkt verteilt, dann kann das jeder aus den Programmdateien mit mehr oder weniger Aufwand auslesen. Und damit kann jeder gegenüber Facebook so tun, als wäre er diese App und bekommt damit die Zugriffsrechte überall dort, wo auch die App Zugriffsrechte hat. Deshalb darf dieses Token nicht in fremde Hände geraten, sondern ist nur für Server-Anwendungen gedacht, wo Endnutzer eben keinen direkten Zugriff erhalten, sondern das Token durch den Server gekapselt ist.

  7. Re: Wofür ist dieser Key?

    Autor: Mingfu 20.06.14 - 13:24

    TTX schrieb:
    --------------------------------------------------------------------------------
    > Ist aber kein Sicherheitsrisiko, weil das dem Entwickler sein Problem
    > ist...UserAccounts betrifft das nicht.

    Das ist falsch. Grundsätzlich stimmt zwar, dass es vor allem für die Entwickler selbst ein Schuss ins Knie sein dürfte, wenn sie Schlüssel, mit denen Zugang zu virtuellen Maschinen u. ä. möglich ist, derart in ihre Apps packen - z. B. bei der Amazon Cloud. Wobei auch das Szenario bereits kritisch ist, weil man ja nicht weiß, welche ausgelesenen Daten der Benutzer die App dorthin geschaufelt hat und die damit plötzlich offen für den Zugriff anderer sind.

    Es gibt aber, z. B. bei dem aufgeführten Facebook-Szenario, durchaus auch Dinge, wo die Benutzer selbst direkt betroffen sind. Wenn man nämlich einer App für das eigene Facebook-Konto Zugriffsrechte einräumt, dann kann jeder, dem es gelingt sich als diese App gegenüber Facebook auszugeben, diese Rechte anschließend nutzen. Die App weist sich aber gegenüber Facebook nur mit einem statischen Token aus. Wenn man also dieses statische Token aus der App extrahieren kann, hat man bei Facebook die gleichen Rechte, die auch die App hat. Benutzer, die dieser App also Zugriffsrechte auf ihr Profil gewährt haben, gewähren damit indirekt diese Zugriffsrechte jedem, der das App-Token hat. Und wenn das App-Token durch den Entwickler praktisch öffentlich verteilt wird...

  8. Re: Wofür ist dieser Key?

    Autor: rommudoh 20.06.14 - 14:25

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Es ist nicht so, dass ein individuelles Token dafür generiert wird, dass du
    > einer App Zugriff auf dein Profil erlaubt hast.

    Nein, die App muss sich erst einen Access-Token holen. Dazu musst du dich bei Facebook einloggen und die App authorisieren. Diesen Access-Token speichert sich die App lokal auf deinem Gerät. Damit kommt sie dann auf Facebook und kann in deinem Namen posten. Wäre ja noch schöner, wenn eine App, die ich zugelassen habe, auch von einem anderen Handy aus auf mein Profil zugreifen kann.

    > Sondern eine App hat ein
    > statisches Token, welches sie gegenüber Facebook als diese App ausweist.

    Genau, diese Client-ID hat die App, aber damit kann sie nichts anfangen, sie muss erst mit Client-ID den Access-Token anfordern. Ohne Client-ID hat die App gar keinen Zugriff auf die Service-API.

    > Facebook speichert dann intern, welche Benutzer dieser App Zugriff auf ihr
    > Profil erlaubt haben. Jeder, der also gegenüber Facebook dieses statische
    > App-Token vorweisen kann, bekommt auf den Profilen der Benutzer, die dieser
    > App bei Facebook Zugriffsrechte gewährt haben, von Facebook die
    > entsprechenden Rechte eingeräumt.

    Nein. Facebook erstellt für jede App, die du authorisiert hast, einen eigenen Access-Token. Die Client-ID reicht *nicht* aus. Wer auf die API in meinem Namen zugreifen will, muss sowohl Client-ID (+Client-Secret), als auch ein gültiges Access-Token haben. Ansonsten bekommt man die Login-Seite von Facebook zu sehen und muss mit User+Passwort wie oben beschrieben die App authorisieren und einen Access-Token generieren lassen. Das passiert z.B. wenn du dein Handy wechselst und die App dort zum ersten mal startest.

    > Wenn der App-Anbieter dieses Token also mit seiner App direkt verteilt,
    > dann kann das jeder aus den Programmdateien mit mehr oder weniger Aufwand
    > auslesen. Und damit kann jeder gegenüber Facebook so tun, als wäre er diese
    > App und bekommt damit die Zugriffsrechte überall dort, wo auch die App
    > Zugriffsrechte hat. Deshalb darf dieses Token nicht in fremde Hände
    > geraten, sondern ist nur für Server-Anwendungen gedacht, wo Endnutzer eben
    > keinen direkten Zugriff erhalten, sondern das Token durch den Server
    > gekapselt ist.

    Wie geschrieben, das stimmt nicht. Die App selbst muss natürlich die Client-ID (+Client-Secret) statisch einkompiliert haben.



    1 mal bearbeitet, zuletzt am 20.06.14 14:26 durch rommudoh.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Gemeinde Burgkirchen a.d.Alz, Burgkirchen a.d. Alz
  2. Nagel-Group | Kraftverkehr Nagel SE & Co. KG, Versmold
  3. WBS GRUPPE, deutschlandweit (Home-Office)
  4. Rems-Murr-Kliniken gGmbH, Winnenden, Schorndorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. GRATIS
  2. (aktuell u. a. AMD Ryzen 7 2700X für 189,90€, Asus ROG Crosshair VIII Formula Mainboard für 499...
  3. 45,79€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    Surface Hub 2S angesehen: Das Surface Hub, das auch in kleine Meeting-Räume passt
    Surface Hub 2S angesehen
    Das Surface Hub, das auch in kleine Meeting-Räume passt

    Ifa 2019 Präsentationen teilen, Tabellen bearbeiten oder gemeinsam auf dem Whiteboard skizzieren: Das Surface Hub 2S ist eine sichtbare Weiterentwicklung des doch recht klobigen Vorgängers. Und Microsofts Pläne sind noch ambitionierter.
    Ein Hands on von Oliver Nickel

    1. Microsoft Nutzer berichten von defektem WLAN nach Surface-Update
    2. Surface Microsofts Dual-Screen-Gerät hat zwei 9-Zoll-Bildschirme
    3. Centaurus Microsoft zeigt intern ein Surface-Gerät mit zwei Displays

    Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
    Mobile-Games-Auslese
    Superheld und Schlapphutträger zu Besuch im Smartphone

    Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
    Von Rainer Sigl

    1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
    2. Dr. Mario World im Test Spielspaß für Privatpatienten
    3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

    1. Wirtschaftsförderung: Agentur für Sprunginnovationen kommt nach Leipzig
      Wirtschaftsförderung
      Agentur für Sprunginnovationen kommt nach Leipzig

      Nach dem Vorbild der Darpa will die Bundesregierung künftig innovative Projekte fördern. Damit erhält bereits die zweite Innovationsagentur des Bundes ihren Sitz in Ostdeutschland.

    2. UPC: Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein
      UPC
      Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein

      Bei UPC wird noch in diesem Monat 1 GBit/s im gesamten Netz angeboten, was in Deutschland noch keiner aus der Kabelnetz-Branche geschafft hat. Auch Sunrise baut sein 5G-Angebot als Glasfaser-Ersatz aus.

    3. Intel-Prozessor: Core i9-9900KS tritt mit 127 Watt TDP an
      Intel-Prozessor
      Core i9-9900KS tritt mit 127 Watt TDP an

      Acht Kerne mit bis zu 5 GHz für alle: Der Core i9-9900KS erscheint im Oktober 2019 und wird die vorerst schnellste Gaming-CPU. Erste Firmware-Updates zeigen, dass Intel die nominelle Verlustleistung von 95 Watt auf 127 Watt anhebt. Für vollen Takt wird das aber nicht reichen.


    1. 18:11

    2. 17:51

    3. 15:54

    4. 15:37

    5. 15:08

    6. 15:00

    7. 14:53

    8. 14:40