Abo
  • Services:
Anzeige
Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Sicherheitslücke: Facebook Messenger ermöglichte Zugriff auf private Nachricht

Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Die privaten Nachrichten von einer Milliarde Facebook-Nutzern waren offenbar über einen kritischen Bug im Messenger angreifbar. Facebook habe die Lücke bereits geschlossen. Ob der Fehler aktiv ausgenutzt wurde, ist nicht bekannt.

Über einen sogenannten Cross-Origin-Bypass-Angriff ist es Mitarbeitern der Sicherheitsfirma Cynet nach eigenen Angaben gelungen, über eine präparierte Webseite Zugriff auf Facebooks Messenger-Daten zu erhalten.

Anzeige

Dies sei möglich, weil Facebook den "Access-Control-Allow-Origin"-Header in Javascript falsch interpretiere. Die Chat-Daten des Facebook Messenger stammen üblicherweise von einer anderen Domain als die Facebook-Webseite, nämlich von variablen Adressen nach dem Prinzip "{number}-edge-chat.facebook.com". Der Access-Control-Allow-Origin-Header ermöglicht den Datenaustausch zwischen den verschiedenen Domains. Empfängt der Facebook-Server dagegen Anfragen von einem nicht autorisierten Server, zum Beispiel einer bösartigen Webseite in einem anderen Tab, werden diese abgelehnt.

Angriff über normale GET-Requests

Cynets Angriff war möglich, weil "Facebook außerdem normale GET-Requests an die Chat-Domains erlaubt", diese aber keinen Origin-Header hätten. Stattdessen wurde das Header-Feld in dem Angriff durch den Wert "null" ersetzt, den wiederum die Facebook-Server nicht blockierten, sondern einfach durchwinkten.

"Dies war ein extrem ernsthaftes Problem nicht nur, weil es eine so hohe Anzahl Nutzer betrifft, sondern auch, weil Nutzer vollständig angreifbar blieben, selbst wenn sie den PC wechseln oder ihre Chats von einem Smartphone ausführen", zitiert The Hacker News einen der beteiligten Mitarbeiter.

Secret Conversations nicht betroffen

Die erst kürzlich von Facebook eingeführten, Ende-zu-Ende-verschlüsselten "Secret Conversations" seien von der Schwachstelle nicht betroffen. Sie blieben auch nach dem Abfischen durch einen Angreifer unlesbar. Secret Conversations stehen allerdings ausschließlich über Facebooks Mobil-App zur Verfügung und sind auch dort - anders als beispielsweise bei Signal - nicht standardmäßig aktiviert. Die große Mehrheit der Nutzer versendet also vermutlich Klartext-Nachrichten.

Die Entdecker der Lücke haben Facebook nach eigenen Angaben über sein Bug-Bounty-Programm informiert. Das Unternehmen habe die Schwachstelle anerkannt und innerhalb weniger Tage entfernt.

Nicht die erste Lücke

Erst im Juni hatte eine Sicherheitsfirma eine andere Lücke im Facebook Messenger gefunden, durch die Angreifer in der Lage waren, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Auch hier hatte Facebook innerhalb kurzer Zeit einen Fix bereitgestellt.


eye home zur Startseite
Xiut 17. Dez 2016

Genau... Was für eine Logik... Aber du scheinst wohl auch nicht die entsprechende Reife...



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. bielomatik Leuze GmbH & Co. KG, Neuffen
  3. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)
  4. Vorwerk & Co. KG, Wuppertal


Anzeige
Top-Angebote
  1. 499,99€ (Einführungsedition nur für begrenzte Zeit verfügbar!) - Immer wieder bestellbar...
  2. 319,99€ für Prime-Kunden

Folgen Sie uns
       


  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fujitsu Lifebook U937 im Test: 976 Gramm reichen für das fast perfekte Notebook
Fujitsu Lifebook U937 im Test
976 Gramm reichen für das fast perfekte Notebook
  1. DLU Fujitsu entwickelt Deep-Learning-Chips

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Schifffahrt: Yara Birkeland wird der erste autonome E-Frachter
Schifffahrt
Yara Birkeland wird der erste autonome E-Frachter
  1. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  2. Honolulu Strafe für Handynutzung auf der Straße
  3. Yara Birkeland Autonomes Containerschiff soll elektrisch fahren

  1. Re: Nach Update immer noch über Grenzwert...

    solaris1974 | 05:14

  2. Re: Ich habe einen Ping von 8ms zu Google

    mrgenie | 05:13

  3. Re: Was ist mit einem "Update" bei Flugzeugen und...

    solaris1974 | 05:12

  4. Re: Warum 45 km/h mit Führerschein

    mrgenie | 05:05

  5. Re: alte Lasermaus

    Shik3i | 04:49


  1. 17:51

  2. 17:08

  3. 17:00

  4. 16:55

  5. 16:38

  6. 16:08

  7. 15:54

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel