Sicherheitslücke: Facebook Messenger ermöglichte Zugriff auf private Nachricht

Die privaten Nachrichten von einer Milliarde Facebook-Nutzern waren offenbar über einen kritischen Bug im Messenger angreifbar. Facebook habe die Lücke bereits geschlossen. Ob der Fehler aktiv ausgenutzt wurde, ist nicht bekannt.

Artikel veröffentlicht am ,
Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Über einen sogenannten Cross-Origin-Bypass-Angriff ist es Mitarbeitern der Sicherheitsfirma Cynet nach eigenen Angaben gelungen, über eine präparierte Webseite Zugriff auf Facebooks Messenger-Daten zu erhalten.

Stellenmarkt
  1. Project Management Officer (w/m/d)
    Bau- und Liegenschaftsbetriebes des Landes Nordrhein-Westfalen (BLB NRW), Düsseldorf
  2. Senior Software Engineer (m/w/d) im Bereich Embedded Firmware Entwicklung
    Landis+Gyr GmbH, Nürnberg
Detailsuche

Dies sei möglich, weil Facebook den "Access-Control-Allow-Origin"-Header in Javascript falsch interpretiere. Die Chat-Daten des Facebook Messenger stammen üblicherweise von einer anderen Domain als die Facebook-Webseite, nämlich von variablen Adressen nach dem Prinzip "{number}-edge-chat.facebook.com". Der Access-Control-Allow-Origin-Header ermöglicht den Datenaustausch zwischen den verschiedenen Domains. Empfängt der Facebook-Server dagegen Anfragen von einem nicht autorisierten Server, zum Beispiel einer bösartigen Webseite in einem anderen Tab, werden diese abgelehnt.

Angriff über normale GET-Requests

Cynets Angriff war möglich, weil "Facebook außerdem normale GET-Requests an die Chat-Domains erlaubt", diese aber keinen Origin-Header hätten. Stattdessen wurde das Header-Feld in dem Angriff durch den Wert "null" ersetzt, den wiederum die Facebook-Server nicht blockierten, sondern einfach durchwinkten.

"Dies war ein extrem ernsthaftes Problem nicht nur, weil es eine so hohe Anzahl Nutzer betrifft, sondern auch, weil Nutzer vollständig angreifbar blieben, selbst wenn sie den PC wechseln oder ihre Chats von einem Smartphone ausführen", zitiert The Hacker News einen der beteiligten Mitarbeiter.

Secret Conversations nicht betroffen

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Die erst kürzlich von Facebook eingeführten, Ende-zu-Ende-verschlüsselten "Secret Conversations" seien von der Schwachstelle nicht betroffen. Sie blieben auch nach dem Abfischen durch einen Angreifer unlesbar. Secret Conversations stehen allerdings ausschließlich über Facebooks Mobil-App zur Verfügung und sind auch dort - anders als beispielsweise bei Signal - nicht standardmäßig aktiviert. Die große Mehrheit der Nutzer versendet also vermutlich Klartext-Nachrichten.

Die Entdecker der Lücke haben Facebook nach eigenen Angaben über sein Bug-Bounty-Programm informiert. Das Unternehmen habe die Schwachstelle anerkannt und innerhalb weniger Tage entfernt.

Nicht die erste Lücke

Erst im Juni hatte eine Sicherheitsfirma eine andere Lücke im Facebook Messenger gefunden, durch die Angreifer in der Lage waren, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Auch hier hatte Facebook innerhalb kurzer Zeit einen Fix bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Tesla Model Y im Test
Die furzende Familienkutsche

Teslas Model Y ist der Wunschtraum vieler Model-3-Besitzer. Reichweite und Raumangebot überzeugen im Test - doch der Autopilot ist nicht konkurrenzfähig.
Ein Test von Friedhelm Greis

Tesla Model Y im Test: Die furzende Familienkutsche
Artikel
  1. Games Workshop: Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert
    Games Workshop
    Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert

    Der Youtuber Squidmar hat wochenlange Arbeit in den Warhammer-40K-Thunderhawk gesteckt. Das hat sich gelohnt: Er erzielt einen Rekordpreis.

  2. MX Keys Mini: Logitech bringt kompakte Flachtastatur für PCs und Macs
    MX Keys Mini
    Logitech bringt kompakte Flachtastatur für PCs und Macs

    Die Logitech MX Keys Mini verzichtet auf den Nummernblock. Dafür ist die flache Tastatur umso kompakter. Es gibt sie für PC und Mac.

  3. Thinkpad E14 Gen3 im Test: Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis
    Thinkpad E14 Gen3 im Test
    Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis

    Schon das Thinkpad E14 Gen2 war exzellent, bei der Gen3 aber hat Lenovo die zwei Schwachstellen - Akku und Display - behoben. Bravo!
    Ein Test von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Nur noch heute PS5-Gewinnspiel • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 7 Tage Samsung-Angebote [Werbung]
    •  /