Abo
  • Services:
Anzeige
Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Sicherheitslücke: Facebook Messenger ermöglichte Zugriff auf private Nachricht

Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Die privaten Nachrichten von einer Milliarde Facebook-Nutzern waren offenbar über einen kritischen Bug im Messenger angreifbar. Facebook habe die Lücke bereits geschlossen. Ob der Fehler aktiv ausgenutzt wurde, ist nicht bekannt.

Über einen sogenannten Cross-Origin-Bypass-Angriff ist es Mitarbeitern der Sicherheitsfirma Cynet nach eigenen Angaben gelungen, über eine präparierte Webseite Zugriff auf Facebooks Messenger-Daten zu erhalten.

Anzeige

Dies sei möglich, weil Facebook den "Access-Control-Allow-Origin"-Header in Javascript falsch interpretiere. Die Chat-Daten des Facebook Messenger stammen üblicherweise von einer anderen Domain als die Facebook-Webseite, nämlich von variablen Adressen nach dem Prinzip "{number}-edge-chat.facebook.com". Der Access-Control-Allow-Origin-Header ermöglicht den Datenaustausch zwischen den verschiedenen Domains. Empfängt der Facebook-Server dagegen Anfragen von einem nicht autorisierten Server, zum Beispiel einer bösartigen Webseite in einem anderen Tab, werden diese abgelehnt.

Angriff über normale GET-Requests

Cynets Angriff war möglich, weil "Facebook außerdem normale GET-Requests an die Chat-Domains erlaubt", diese aber keinen Origin-Header hätten. Stattdessen wurde das Header-Feld in dem Angriff durch den Wert "null" ersetzt, den wiederum die Facebook-Server nicht blockierten, sondern einfach durchwinkten.

"Dies war ein extrem ernsthaftes Problem nicht nur, weil es eine so hohe Anzahl Nutzer betrifft, sondern auch, weil Nutzer vollständig angreifbar blieben, selbst wenn sie den PC wechseln oder ihre Chats von einem Smartphone ausführen", zitiert The Hacker News einen der beteiligten Mitarbeiter.

Secret Conversations nicht betroffen

Die erst kürzlich von Facebook eingeführten, Ende-zu-Ende-verschlüsselten "Secret Conversations" seien von der Schwachstelle nicht betroffen. Sie blieben auch nach dem Abfischen durch einen Angreifer unlesbar. Secret Conversations stehen allerdings ausschließlich über Facebooks Mobil-App zur Verfügung und sind auch dort - anders als beispielsweise bei Signal - nicht standardmäßig aktiviert. Die große Mehrheit der Nutzer versendet also vermutlich Klartext-Nachrichten.

Die Entdecker der Lücke haben Facebook nach eigenen Angaben über sein Bug-Bounty-Programm informiert. Das Unternehmen habe die Schwachstelle anerkannt und innerhalb weniger Tage entfernt.

Nicht die erste Lücke

Erst im Juni hatte eine Sicherheitsfirma eine andere Lücke im Facebook Messenger gefunden, durch die Angreifer in der Lage waren, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Auch hier hatte Facebook innerhalb kurzer Zeit einen Fix bereitgestellt.


eye home zur Startseite
Xiut 17. Dez 2016

Genau... Was für eine Logik... Aber du scheinst wohl auch nicht die entsprechende Reife...



Anzeige

Stellenmarkt
  1. Hays AG, Mainz
  2. Zentrum für Kunst und Medientechnologie Karlsruhe, Karlsruhe
  3. Robert Bosch GmbH, Böblingen
  4. DATAGROUP Business Solutions GmbH, verschiedene Standorte


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  3. (u. a. 3 Blu-rays für 18 EUR, TV-Serien reduziert, Box-Sets reduziert)

Folgen Sie uns
       


  1. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  2. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  3. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  4. SteamVR

    Valve zeigt Knuckles-Controller

  5. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  6. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  7. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  8. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  9. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  10. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Elektronikkonzern Toshiba kann Geschäftsbericht nicht vorlegen
  2. Zahlungsabwickler Start-Up Stripe kommt nach Deutschland
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  2. Quantenoptik Vom Batman-Fan zum Quantenphysiker
  3. Ionencomputer Wissenschaftler müssen dumme Dinge sagen dürfen

Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. Re: Twicht muss die Lizenz haben?

    Berner Rösti | 19:11

  2. Re: Konsolenevolution ist besser als echte ps5

    Unix_Linux | 19:09

  3. Re: Mich beeindruckt das nicht.

    bccc1 | 19:08

  4. Re: So langsam wird es was werden mit den...

    bombinho | 18:52

  5. Re: 1703 Taschenrechner macht das auch!

    nille02 | 18:51


  1. 17:40

  2. 16:22

  3. 15:30

  4. 14:33

  5. 13:44

  6. 13:16

  7. 12:40

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel