NEWS

Handys

Sicherheitslücke im Facebook Messenger

Portrait des Authors


Sicherheitslücke im Facebook Messenger
2

Werbung

Vor fast einem Jahr wurde von den Forschern von Imperva bereits eine Sicherheitslücke bei Facebook entdeckt. Damals war es möglich, mithilfe des Facebook-Messengers herauszufinden, mit wem ein Benutzer in Kontakt steht. Bei der neu entdeckten Lücke sind Angreifer in der Lage, mithilfe von iFrame-Elementen festzustellen, mit welchen anderen Nutzern das Opfer in Kontakt stand und welche sich davon auf seiner Kontaktliste befinden oder nicht. Mehr Daten sollen sich allerdings laut den Sicherheitsforschern nicht erbeuten lassen.

Bei der im letzten November gemeldeten Sicherheitslücke waren Messenger-Nutzer anfällig, wenn sie eine kom­pro­mit­tie­rte Website mit dem Chrome-Browser besucht haben. Zwar mussten die potenziellen Opfer gleichzeitig bei Facebook eingeloggt sein, war dies jedoch der Fall, so war es für Angreifer ein Leichtes, persönliche Daten des Opfers zu extrahieren. Nachdem Imperva das Problem bei Facebook gemeldet hatte, versuchte das Unternehmen, eine Korrektur zu veröffentlichen, indem es iframe-Elemente randomisierte. Jedoch war es immer noch möglich, einen Algorithmus zu entwerfen, der in der Lage ist, die Kontakte der Benutzer weiterhin auszulesen. Facebook entfernte iFrames daraufhin komplett aus dem Messenger.

Gegenüber The Verge äußerte sich Facebook wie folgt: “We appreciate the researcher’s submission to our bug bounty program. The issue in his report stems from the way web browsers handle content embedded in webpages and is not specific to Facebook.” Der Imperva-Mitarbeiter Ron Masas gab folgendes Statement: “Browser-based side channel attacks are still an overlooked subject. While big players like Facebook and Google are catching up, most of the industry is still unaware.

Dabei plant Facebook, alle seine Dienste zusammenzulegen. Aufgrund des löchrigen Facebook-Messengers könnte dies allerdings erhebliche Sicherheitsprobleme mit sich bringen.

Quellen und weitere Links KOMMENTARE (2)