computerwoche.de

Web

Sicherheitsrisiko Apps

Facebook-Nutzer sind zu sorglos

07.07.2010
Von pte pte
Auf Facebook hat sich in den letzten Tagen eine App verbreitet, die User mit einem Schocker-Video eines SMS-bedingten Todesfalls ködert.

Um das Video zu sehen, müssen Nutzer der App Zugriff auf persönliche Daten sowie das Posten auf dem Facebook-Wall erlauben. Viele User geben der App einfach diese Rechte, obwohl ein legitimes Video diese nicht braucht, warnt Sophos-Sicherheitsexperte Graham Cluely.

"Die meisten Facebook-User kümmert das kaum. Sie verstehen nicht unbedingt die möglichen Kosequenzen", meint Cluley im Gespräch mit pressetext. Dabei ist das Prinzip, dass Apps den User nach Zugriffsrechten fragen müssen, nicht nur im sozialen Netzwerk teil des Sicherheitskonzepts. "Facebook hat Ähnlichkeiten mit Android. Beide warnen User, die das aber ignorieren", erklärt er.

Video-Schindluder

"Eigentlich müsste einem jede App, die zum Abspielen eines Videos auf private Daten zugreifen will, verdächtig vorkommen", betont Cluley. Doch die fragwürdige App setzt erfolgreich darauf, dass User vor lauter Neugier über den SMS-Todesfall einfach Facebooks entsprechende Abfrage bestätigen. Damit wird es der App möglich, sich auf der Wall der Users mit einem Link zu bewerben und somit neue Opfer zu finden. Um die 300.000 User dürften diesem Link bereits gefolgt sein.

"Facebook kann in so einem Fall durchaus behaupten, dass man den User gewarnt habe", sagt der Sophos-Experte. Allerdings bringt das wenig, wenn Nutzer Sicherheitsabfragen ignorieren oder sich der Tragweite ihrer Handlungen nicht recht bewusst sind. Dass viele Mitglieder sich nachträglich über den von der App geposteten Link wundern, unterstreicht dieses Problem. Verschärft wird die Situation dadurch, dass sie den Köder-Link selbst dann nicht von ihrer Wall löschen, so Cluley.

Smartphone-Parallele

An sich ist Facebooks Ansatz, User darüber zu informieren, welche Berechtigungen eine App anfordert, durchaus vernünftig. Im Prinzip setzt auch das Smartphone-Betriebssystem Android genau darauf, um Nutzer vor schädlichen Apps zu schützen. Doch die Sorglosigkeit von Usern ist ein praktisches Problem, für das ebenfalls aus dem Smartphone-Segment ein Lösungsansatz bekannt ist. "Facebook könnte einfach nach Apples App-Store-Prinzip vorgehen und jede App genau prüfen", erläutert Cluley.

In der Praxis wird es so weit wohl nicht kommen. "Aber schon, wenn Facebook die Einstiegshürde für App-Entwickler durch eine genauere Identitätsprüfung erhöhen würde, könnte das helfen", meint der Sophos-Experte. Trotz der Parallelen in den Sicherheitskonzepten von Facebook und Android betont er zudem einen wesentlichen Unterschied. "Auf der stark besuchten sozialen Netzwerk können sich Schädlinge einfach schneller ausbreiten", so Cluley. (pte)