10. Oktober 2022, 14:35 Uhr | Lesezeit: 3 Minuten
Immer wieder schaffen es Hacker, ihre bösartigen Programme in Apples App Store und Googles Play Store zu platzieren. Nun wurde eine Reihe von Apps aufgedeckt, die Facebook-Passwörter stehlen können.
Facebooks Konzernmutter Meta warnt rund eine Millionen Nutzer, dass bösartige Apps ihre Passwörter gestohlen haben könnten. Sicherheitsforscher des Unternehmens haben mehr als 400 Apps im Apple App Store und im Google Play Store gefunden, die dafür entwickelt wurden, Facebook-Login-Daten auszulesen. Darunter sind Spiele, Foto-Editoren, Gesundheits-Apps, VPN-Dienste und Taschenlampen-Apps.
Apps nutzen manipulierten Login-Button, um an das Facebook-Passwort zu kommen
In vielen Fällen halten die Apps nicht, was sie laut Beschreibung versprechen. Stattdessen nutzen sie einen gefälschten „Login mit Facebook“-Button, um an Anmeldenamen und Passwort der Nutzer zu kommen.
Laut Meta hätten es die Apps trotz Vorsichtsmaßnahmen „in legitime App Stores geschafft“. Das Unternehmen hat die Apps bereits an Apple und Google gemeldet, die diese mittlerweile aus dem jeweiligen App Store entfernt haben. Betroffenen Nutzern gibt Meta eine Reihe von Tipps an die Hand, wie sie ihre Accounts nun sichern und in Zukunft vor Angriffen schützen können.
Auch interessant: Facebooks irrer Plan für eine neue Welt
Was betroffene Nutzer jetzt tun können
Wenn Sie eine der bösartigen Apps bereits auf Ihrem Smartphone installiert haben, sollten Sie diese umgehend löschen. Meta empfiehlt folgende Schritte, um den Account zu sichern:
- Das alte Passwort zurücksetzen und ein neues, starkes und einzigartiges einrichten.
- Zwei-Faktor-Authentifizierung einrichten, am besten mit einer Authenticator-App – etwa von Microsoft oder Google.
- Login-Benachrichtigungen in den Einstellungen aktivieren, um zu sehen, wenn jemand versucht, sich mit ihren Daten anzumelden.
Hier finden Sie die Liste der betroffenen Android-Apps und iOS-Apps.
So können Sie bösartige Apps erkennen
Viele Apps benutzen die Facebook-Login-Funktion, um Daten auf mehreren Geräten synchronisieren zu können. Auch ist die Anmeldung mit Facebook oft eine Alternative zu Google, Apple und anderen Login-Diensten. Die weite Verbreitung machen sich Hacker zu Nutze, um ihre bösartigen Apps legitim erscheinen zu lassen. Es gibt jedoch eine Reihe von Anhaltspunkten, an denen Sie erkennen können, ob eine App legitim ist.
- Nutzung nur mit Facebook-Login möglich. Viele der Apps funktionieren gar nicht erst, bevor Nutzer nicht ihre Anmeldedaten eingeben. Bei einem Musik-Player oder einem Foto-Editor sollte das zumindest stutzig machen.
- Hält die App, was sie verspricht? Oft soll es sich bei den Apps um 3D-Spiele oder nützliche Dienste handeln. In der Realität stellt sich aber nach der Anmeldung heraus, dass die versprochenen Features nicht oder nur in eingeschränktem Umfang verfügbar sind.
- Bewertungen und Rezensionen. Bösartige Apps haben oft eine Menge gekaufter 5-Sterne-Bewertungen. Davon sollten sich Nutzer nicht blenden lassen. Am besten ist es, die negativen Bewertungen zu prüfen. Wenn sich andere Nutzer darüber beschweren, dass die App nicht liefert, was sich verspricht, ist das oft ein Indiz dafür, dass etwas faul ist.
Banking-Trojaner greift selbst sichere Android-Smartphones an
Diese Fake-Apps schleusen Trojaner aufs Smartphone
Google entfernt 25 Apps aus dem Play Store, die Nutzer ausspionieren
Quelle
Meta-Pressemitteilung (aufgerufen am 10. Oktober 2022)