Abo
  • Services:
Anzeige
Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Sicherheitslücke: Facebook Messenger ermöglichte Zugriff auf private Nachricht

Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Die privaten Nachrichten von einer Milliarde Facebook-Nutzern waren offenbar über einen kritischen Bug im Messenger angreifbar. Facebook habe die Lücke bereits geschlossen. Ob der Fehler aktiv ausgenutzt wurde, ist nicht bekannt.

Über einen sogenannten Cross-Origin-Bypass-Angriff ist es Mitarbeitern der Sicherheitsfirma Cynet nach eigenen Angaben gelungen, über eine präparierte Webseite Zugriff auf Facebooks Messenger-Daten zu erhalten.

Anzeige

Dies sei möglich, weil Facebook den "Access-Control-Allow-Origin"-Header in Javascript falsch interpretiere. Die Chat-Daten des Facebook Messenger stammen üblicherweise von einer anderen Domain als die Facebook-Webseite, nämlich von variablen Adressen nach dem Prinzip "{number}-edge-chat.facebook.com". Der Access-Control-Allow-Origin-Header ermöglicht den Datenaustausch zwischen den verschiedenen Domains. Empfängt der Facebook-Server dagegen Anfragen von einem nicht autorisierten Server, zum Beispiel einer bösartigen Webseite in einem anderen Tab, werden diese abgelehnt.

Angriff über normale GET-Requests

Cynets Angriff war möglich, weil "Facebook außerdem normale GET-Requests an die Chat-Domains erlaubt", diese aber keinen Origin-Header hätten. Stattdessen wurde das Header-Feld in dem Angriff durch den Wert "null" ersetzt, den wiederum die Facebook-Server nicht blockierten, sondern einfach durchwinkten.

"Dies war ein extrem ernsthaftes Problem nicht nur, weil es eine so hohe Anzahl Nutzer betrifft, sondern auch, weil Nutzer vollständig angreifbar blieben, selbst wenn sie den PC wechseln oder ihre Chats von einem Smartphone ausführen", zitiert The Hacker News einen der beteiligten Mitarbeiter.

Secret Conversations nicht betroffen

Die erst kürzlich von Facebook eingeführten, Ende-zu-Ende-verschlüsselten "Secret Conversations" seien von der Schwachstelle nicht betroffen. Sie blieben auch nach dem Abfischen durch einen Angreifer unlesbar. Secret Conversations stehen allerdings ausschließlich über Facebooks Mobil-App zur Verfügung und sind auch dort - anders als beispielsweise bei Signal - nicht standardmäßig aktiviert. Die große Mehrheit der Nutzer versendet also vermutlich Klartext-Nachrichten.

Die Entdecker der Lücke haben Facebook nach eigenen Angaben über sein Bug-Bounty-Programm informiert. Das Unternehmen habe die Schwachstelle anerkannt und innerhalb weniger Tage entfernt.

Nicht die erste Lücke

Erst im Juni hatte eine Sicherheitsfirma eine andere Lücke im Facebook Messenger gefunden, durch die Angreifer in der Lage waren, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Auch hier hatte Facebook innerhalb kurzer Zeit einen Fix bereitgestellt.


eye home zur Startseite
Xiut 17. Dez 2016

Genau... Was für eine Logik... Aber du scheinst wohl auch nicht die entsprechende Reife...



Anzeige

Stellenmarkt
  1. Basler AG, Ahrensburg bei Hamburg
  2. Robert Bosch GmbH, Leonberg
  3. Hornbach-Baumarkt-AG, Neustadt an der Weinstraße
  4. Fresenius Netcare GmbH, Bad Homburg


Anzeige
Top-Angebote
  1. 47,99€
  2. und For Honor oder Ghost Recon Wildlands kostenlos erhalten
  3. (-17%) 49,99€ - Release am Donnerstag

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Energielabels

    Aus A+++ wird nur noch A

  2. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  3. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  4. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  5. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  6. Ab 2018

    Cebit findet künftig im Sommer statt

  7. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  8. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  9. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme

  10. Stack Overflow

    Deutsche Entwickler fühlen sich unterbezahlt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
BSI: Schützt euer Owncloud vor Feuer und Wasser!
BSI
Schützt euer Owncloud vor Feuer und Wasser!
  1. VoIP Deutsche Telekom hatte Störung der IP-Telefonie
  2. Alte Owncloud und Nextcloud-Versionen Parteien und Ministerien nutzen unsichere Cloud-Dienste
  3. NFC Neuer Reisepass lässt sich per Handy auslesen

P10 und iPhone im Porträttest: Huawei machts besser als Apple
P10 und iPhone im Porträttest
Huawei machts besser als Apple
  1. AgilePOL Huawei sieht FTTH als "die Zukunft für Netzbetreiber"
  2. Smartphone Huaweis P10 Lite kommt für 350 Euro
  3. Android-Smartphone Huawei Y6 II Compact bei Aldi-Süd für 130 Euro

Vernetztes Fahren: Die Pseudo-Tests auf der Autobahn 9
Vernetztes Fahren
Die Pseudo-Tests auf der Autobahn 9
  1. Autonomes Fahren Die Ära der Kooperitis
  2. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  3. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank

  1. Re: Vertrauen in die Menschheit

    Johnny Cache | 04:46

  2. Re: schöne Sache

    Sharra | 04:09

  3. Re: Ja und?

    kaliberx | 03:59

  4. Re: Problem erkannt, Problem wiederholt.

    topo | 03:57

  5. Macht das nicht fast jeder mit WhatsApp oder...

    ecv | 03:50


  1. 18:59

  2. 18:42

  3. 18:06

  4. 17:39

  5. 17:10

  6. 16:46

  7. 16:26

  8. 16:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel