Facebook: Login-Daten klauende Apps erbeuten 1 Mio. Passwörter

9.10.22 14:29 von Antonia Frank Lesezeit: 3 Min.

Meta warnt ca. 1 Million Facebook-Nutzer, dass ihre Anmeldeinformationen eventuell durch bösartige Android- und iOS-Apps kompromittiert wurden

Das Sicherheitsteam von Meta, der Muttergesellschaft von Facebook, Instagram und WhatsApp, gab am Freitag bekannt, dass ihre Sicherheitsforscher in diesem Jahr 400 bösartige Android- und iOS-Drittanbieter-Apps identifiziert haben, die Facebook-Anmeldedaten stehlen würden. Infolgedessen informierten sie mittels Sicherheitswarnung etwa 1 Million Facebook-User darüber, dass ihre Kontoanmeldeinformationen möglicherweise aufgrund von Sicherheitsproblemen mit diesen Apps kompromittiert sein könnten.

Die schädlichen Apps tarnten sich dabei als völlig legitime Programme. Sie forderten die Benutzer nach der Installation auf, sich mit Facebook oder anderen Plattform-Logins anzumelden. Facebook warnt:

„Wenn die Anmeldeinformationen gestohlen werden, könnten Angreifer möglicherweise vollen Zugriff auf das Konto einer Person erhalten und beispielsweise Nachrichten an ihre Freunde senden oder auf private Informationen zugreifen. […] Seien Sie beispielsweise misstrauisch gegenüber einer Fotobearbeitungs-App, die Ihren Facebook-Login und Ihr Passwort benötigt, bevor Sie sie verwenden können oder einer App, die Sie auffordert, sich bei Facebook anzumelden, um Anzeigen zu entfernen.“

Da eine Kontokompromittierung über die bösartigen Apps und nicht über Facebook erfolgte, kann das Unternehmen nicht sagen, wie viele Benutzer konkret kompromittiert wurden. Stattdessen verlässt sich das Unternehmen auf Signale wie das „Verhalten auf der Plattform und wie es mit dem Verhalten der bösartigen Apps korreliert“, um festzustellen, welche Anwender eine Benachrichtigung erhalten.

Als nützliche Dienstprogramme getarnte Apps stehlen Facebook- Anmeldedaten

Laut David Agranovich, Direktor des Sicherheitsteams Threat Disruption, bei Meta, wurden die Apps im Google Play Store und im App Store von Apple gelistet. Diese tarnten sich als Bildbearbeitungsprogramme, Spiele, VPN-Dienste, Business-Apps, Gesundheits- und Lifestyle-Dienste, Taschenlampen-Apps und andere Dienstprogramme, um die Leute zum Herunterladen zu verleiten. Laut Facebook forderten die bösartigen Apps die Benutzer häufig auf, sich „mit Facebook anzumelden“, um infolge den Benutzernamen und das Passwort zu stehlen. Einige Beispiele sind:

Bildbearbeitungsprogramme, einschließlich solcher, die behaupten, es zu ermöglichen, „Bilder in einen Cartoon umzuwandeln“
VPNs, die behaupten, die Surfgeschwindigkeit zu erhöhen oder Zugriff auf blockierte Inhalte oder Websites zu gewähren
Telefondienstprogramme wie Taschenlampen-Apps, die behaupten, die Taschenlampe Ihres Telefons aufzuhellen
Handyspiele versprechen fälschlicherweise hochwertige 3D-Grafiken
Gesundheits- und Lifestyle-Apps wie Horoskope und Fitnesstracker
Geschäfts- oder Anzeigenverwaltungs-Apps, die vorgeben, versteckte oder nicht autorisierte Funktionen bereitzustellen. Diese sind in offiziellen Apps von technischen Plattformen oftmals nicht zu finden.

Gemäß Facebook gelänge es einigen dieser Apps, sich einer Erkennung durch Malewareüberprüfung zu entziehen. Damit schaffen sie es in die legitimen App-Stores und zudem auf die Handys von Usern. Facebook meldete die schädlichen Apps bereits Apple und Google, wobei nur 46 der identifizierten Apps iOS-Apps waren. So konnten diese noch vor Berichtsveröffentlichung aus beiden App-Stores entfernt werden. Aber auch Benutzer sollten vorsichtig sein, wenn sie neue Apps herunterladen, die nach Social-Media-Logins fragen, gibt Facebook zu bedenken.

Hinweise für vom Datenklau Betroffene

Betroffene sollten die App von Ihrem Gerät löschen. Ferner sollten sie das Passwort zurücksetzen und neue, sichere Passwörter erstellen. Niemals sollte man dabei ein Passwort auf mehreren Webseiten verwenden. Eine Aktivierung der Zwei-Faktor-Authentifizierung und das Einschalten der Facebook-Anmeldewarnung verspricht zusätzliche Sicherheit. Bei Letzterem wisse man, wenn jemand versucht, auf das Facebook-Konto zuzugreifen. Eine Überprüfung der vorigen Sitzungen stelle sicher, dass man erkennt, welche Geräte Zugriff auf das Konto haben.

Facebook und Instagram kosten bald 10 Euro monatlich

Meta schlägt den EU-Behörden vor, ihre Bürger müssen die Gebühr bezahlen oder personalisierter Werbung bei Facebook bzw. Instagram zustimmen.

WhatsApp muss sich für andere Messenger öffnen

Gestern tauchte im Internet der Screenshot einer Betaversion von WhatsApp auf, bei der Chats mit fremden Messengern möglich sind.

Nach Löschanfrage: Downloader erneut aus Playstore verbannt

Der Downloader von Elias Saba soll die Urheberrechte von Warner Bros. verletzt haben. Wird es Elias gelingen, die Vorwürfe zu entkräften?

Der Google Play Store als beliebtes Ziel von Cyberkriminellen

Die Entwicklung von Schad-Apps ist eines der erfolgreichsten Geschäftsmodelle im Darknet. Diese vertreibt man über den Google Play Store.

Europa stoppt Facebook: Schluss mit gezielter Werbung!

Auf diese Nachricht haben viele Datenschützer lange gewartet. Europa stoppt Facebook! Endlich ist Schluss mit zielgerichteter Werbung.

Soziale Netzwerke bergen viele Gefahren für Minderjährige

Der Digital Services Act der EU soll Minderjährige im Internet schützen. Eine Studie zeigt jedoch: große Plattformen moderieren nachlässig.

Angreifer belauscht Anwender der iRecorder-App (Symbolbild)

iRecorder: Screen-Recorder-App zeichnet heimlich Gespräche auf

Ursprünglich war der iRecorder ein harmloser Screen-Recorder für Android. Doch ein Update machte ihn zu einem ausgewachsenen Spionagetool.

Threads blockiert alle europäischen VPN-Nutzer

Threads ist hierzulande noch nicht verfügbar. Der Kurznachrichtendienst sperrt alle EU-Nutzer aus, die sich mit einem VPN verbunden haben.

Meta wird vom Hammer des Gesetzes getroffen

Meta muss Milliardenstrafe zahlen

Wieder eine Strafe für Facebook-Mutterkonzern Meta; diesmal muss das Unternehmen über eine Milliarde Euro drücken.

Pay or Okay ist nicht okay, okay?

Die EU-Datenschützer haben heute eine Stellungnahme zum verbreiteten Pay or Okay Modell veröffentlicht. Das hat massive Folgen für Autoren.

Google verliert Monopolklage: Epic Games siegt vor Gericht

Ein großer Sieg für Epic-Chef Tim Sweeney. Denn Google verliert die Monopolklage. Doch der Internetgigant will umgehend in Berufung gehen.

Ein Adware Apps Symbolbild zeigt eine Person mit einem Tablet

Adware-Apps entlarvt: Wie Hacker beliebte Apps tarnen und Nutzer gefährden

Schützt euer Handy vor Adware-Apps! Über 60.000 gut getarnte Apps mit Adware sind derzeit im Umlauf. Die Gefahr ist nicht zu unterschätzen!

Facebooks Link-Verlauf in der Kritik

Mit der Link History vergisst Meta nie wieder etwas. Das betrifft externe Webseiten, die man von der mobilen Facebook-App aus besucht hat.

wang tom: Google braucht 6 Wochen zur Entfernung bösartiger Apps

Zwei Apps von wang tom übertrugen Nutzer-Daten an ihre Server. Erst nach 6 Wochen und 1.5 Mio. Installationen wurden sie endlich gelöscht.

Bücher für KI-Training: Meta räumt Verwendung von „raubkopierten“ Inhalten ein

Meta hat zugegeben, Teile des umstrittenen Books3-Datensatzes für das KI-Training seiner Llama-Modelle verwendet zu haben.

Zwei Vögel aus Feuer und Eis vor schwarzem Hintergrund

FrostWire: Populärer BitTorrent-Client wieder im Google Play Store

FrostWire ist zurück! Entdecke das brandneue Update 'Ice Phoenix' und profitiere von der Torrent-Unterstützung. Jetzt im Google Play Store!

Hacker freut sich, weil er mit der NodeStealer-Malware Dein Facebook-Konto gekapert hat (Symbolbild)

NodeStealer Malware stiehlt Facebook-Konten und mehr

Auch in Deinem Browser gespeicherte Cookies und Zugangsdaten von Gmail- und Outlook-Konten stehen auf der Speisekarte der NodeStealer-Malware.

Eine Frau tippt eine Nachricht auf WhatsApp

Verdächtiger Mikrofonzugriff: Elon Musk greift WhatsApp an

Meta ist bereits mehrfach wegen schlechter Datenschutzpraktiken in die Kritik geraten. Jetzt gibt es verdächtige Mikrofon-Zugriffe durch WhatsApp.