Die Melden-Funktion verrät etwas zu viel.
Die Melden-Funktion verrät etwas zu viel. (Bild: ThePoz/Bodybuilder.com-Forum)

Facebook-Sicherheitslücke Private Bilder anschauen leicht gemacht

Es ist offenbar möglich, sich private Bilder von wildfremden Facebook-Nutzern anzuschauen. Dazu muss deren öffentliches Profilbild einer Anleitung zufolge nur als obszön gemeldet werden. Update: Facebook hat das Problem mittlerweile beseitigt.

Anzeige

Facebook-Nutzer können Bilder anderer Nutzer als anstößig melden. Die Meldefunktion lässt sich jedoch auch dazu nutzen, um nicht öffentlich freigegebene Fotos von fremden Facebook-Nutzern anzuzeigen. Hat ein fremder Facebook-Nutzer ein öffentliches Profilbild, kann es vom Angreifer wegen Nacktheit oder Pornografie Facebook gemeldet werden - das soziale Netzwerk zeigt dann unter Umständen weitere Bilder des Nutzers an, damit weitere Vergehen einfach per Mausklick gemeldet werden können.

Das wäre nicht der Rede wert, wenn unter den angezeigten Bildern nicht auch gerade inaktive Profilbilder oder private Fotos aus dem gemeldeten Account zu sehen wären. Diese Bilder müssten gemäß der Privatsphäre-Einstellungen für Fremde ohne Freundesstatus jederzeit uneinsehbar bleiben. Stattdessen sind sie für Angreifer so sichtbar, wenn auch offenbar nicht komplett und nach einer vermutlich zufälligen Reihenfolge.

Die Sicherheitslücke wurde bereits im November 2011 entdeckt, einer der ersten Hinweise dazu findet sich im US-Forum Bodybuilder.com, das sich längst nicht mehr nur um Bodybuilding dreht. Eine bebilderte Anleitung dort macht gerade die Runde durchs Internet und verlockt derzeit so manchen Facebook-Nutzer dazu, sie auch einmal auszuprobieren. Das könnte jedoch durchaus dazu führen, dass Facebook den Missbrauch ahndet und Accounts sperrt.

Golem.de hat den Vorgang mit einem eigens angelegten Account ausprobiert - bisher ohne Erfolg. Auch ein Wechsel von einer deutschen zu einer englischen Facebook-Oberfläche brachte dabei nichts, einige der Bodybuilder.com-Nutzer wollen damit Erfolg gehabt haben. Die Sicherheitslücke soll nur bei einem Teil der Neugierigen funktionieren, heißt es auch in dem Forum. Falls eine Sicherheitslücke besteht, dürfte auch wegen der großen Aufmerksamkeit davon auszugehen sein, dass Facebook die Lücke bald beseitigt. Bis zur Entwarnung können besorgte Nutzer öffentliche Profilbilder sicherheitshalber deaktivieren.

Nachtrag vom 6. Dezember 2011, 17:37 Uhr

Der von Golem.de zur Überprüfung der Sicherheitslücke erstellte Testaccount wurde von Facebook wegen unerlaubter Inhalte gesperrt. Wir hatten gemeldet, dass ein dort zu findendes harmloses Foto einer duschenden Lego-Figur und das Plüschtier-Profilfoto anstößig seien - was von Facebook offenbar vor der Sperrung nicht näher überprüft wurde. Ein Grund mehr, solche Spielchen besser nicht mit dem eigenen Account oder mit dem von Freunden auszuprobieren.

Nachtrag vom 7. Dezember 2011, 1:44 Uhr

Facebook hat Golem.de das Problem bestätigt, es soll mittlerweile beseitigt sein. Details dazu fehlen jedoch noch.


Baron Münchhausen. 07. Dez 2011

Der Nick des Vogels steht über dem Zitat

derthorsten 07. Dez 2011

Sehr gute Signatur!

derthorsten 07. Dez 2011

Wer mal mit den unsäglichen APIs von denen zu tun hatte (ich hatte das leidliche Glück...

Vollstrecker 07. Dez 2011

Versuch es einfach nicht zu googlen! Was dort steht und zu sehen ist willst du garnicht...

Trockenobst 07. Dez 2011

heute wird stundenlang über die Probleme mit einer Plattform diskutiert, die man absolut...

Kommentieren


Eviltux. IT & Gesellschaft / 06. Dez 2011

Sicherheitslücke in Facebook



Anzeige

  1. Gruppenleiter/-in Security und IT-Systeme
    Robert Bosch GmbH, Renningen
  2. (Senior) Softwareentwickler (Microsoft) (m/w)
    arvato systems S4M GmbH, Köln
  3. Software Tester / Testspezialist: Testmanagement / Senior Software Testmanager (m/w)
    imbus AG, Möhrendorf, Köln
  4. Linux Software Entwickler / Tester (m/w)
    imbus AG, München

 

Detailsuche


Folgen Sie uns
       


  1. Bungie

    Destiny und der Gesundheitsbalken

  2. Galaxy A3 und A5

    Samsungs dünne Smartphones im Metallkleid

  3. MSI GT80 Titan

    Erstes Gaming-Notebook mit mechanischer Tastatur

  4. Ministerpräsident

    Viktor Orban zieht Internetsteuer für Ungarn zurück

  5. Spielentwickung

    Engine-Trends jenseits der Grafik

  6. Gesetz über geistiges Eigentum

    Spanien erlässt eine Google-Gebühr

  7. Android-Smartphone

    Huaweis Ascend Mate 7 für 500 Euro zu haben

  8. Crescent Bay

    Oculus Rift und die Sache mit dem T-Rex

  9. Foto-App

    Instagram jetzt auch mit Werbefilmen

  10. Personalie

    Android-Schöpfer Andy Rubin verlässt Google



Haben wir etwas übersehen?

E-Mail an news@golem.de



Moore's Law: Totgesagte schrumpfen länger
Moore's Law
Totgesagte schrumpfen länger

Samsung Galaxy Note 4 im Test: Ausdauerndes Riesen-Smartphone mit Top-Hardware
Samsung Galaxy Note 4 im Test
Ausdauerndes Riesen-Smartphone mit Top-Hardware
  1. Galaxy Note 4 4,5 Millionen verkaufte Geräte in einem Monat
  2. Samsung Galaxy Note 4 wird teurer und kommt früher
  3. Gapgate Spalt im Samsung Galaxy Note 4 ist gewollt

iPad Air 2 im Test: Toll, aber kein Muss
iPad Air 2 im Test
Toll, aber kein Muss
  1. Tablet Apple verdient am iPad Air 2 weniger als am Vorgänger
  2. iFixit iPad Air 2 - wehe, wenn es kaputtgeht
  3. iPad Air 2 Benchmark Apples A8X überrascht mit drei Prozessor-Kernen

    •  / 
    Zum Artikel