Abo
  • Services:

Sicherheitslücke: Facebook Messenger ermöglichte Zugriff auf private Nachricht

Die privaten Nachrichten von einer Milliarde Facebook-Nutzern waren offenbar über einen kritischen Bug im Messenger angreifbar. Facebook habe die Lücke bereits geschlossen. Ob der Fehler aktiv ausgenutzt wurde, ist nicht bekannt.

Artikel veröffentlicht am ,
Facebook Messenger war durch neue Schwachstelle angreifbar.
Facebook Messenger war durch neue Schwachstelle angreifbar. (Bild: Flickr/downloadsourcefr/CC-BY 2.0)

Über einen sogenannten Cross-Origin-Bypass-Angriff ist es Mitarbeitern der Sicherheitsfirma Cynet nach eigenen Angaben gelungen, über eine präparierte Webseite Zugriff auf Facebooks Messenger-Daten zu erhalten.

Stellenmarkt
  1. Symgenius GmbH & Co. KG, Düsseldorf, Bad Gandersheim
  2. abilex GmbH, Berlin

Dies sei möglich, weil Facebook den "Access-Control-Allow-Origin"-Header in Javascript falsch interpretiere. Die Chat-Daten des Facebook Messenger stammen üblicherweise von einer anderen Domain als die Facebook-Webseite, nämlich von variablen Adressen nach dem Prinzip "{number}-edge-chat.facebook.com". Der Access-Control-Allow-Origin-Header ermöglicht den Datenaustausch zwischen den verschiedenen Domains. Empfängt der Facebook-Server dagegen Anfragen von einem nicht autorisierten Server, zum Beispiel einer bösartigen Webseite in einem anderen Tab, werden diese abgelehnt.

Angriff über normale GET-Requests

Cynets Angriff war möglich, weil "Facebook außerdem normale GET-Requests an die Chat-Domains erlaubt", diese aber keinen Origin-Header hätten. Stattdessen wurde das Header-Feld in dem Angriff durch den Wert "null" ersetzt, den wiederum die Facebook-Server nicht blockierten, sondern einfach durchwinkten.

"Dies war ein extrem ernsthaftes Problem nicht nur, weil es eine so hohe Anzahl Nutzer betrifft, sondern auch, weil Nutzer vollständig angreifbar blieben, selbst wenn sie den PC wechseln oder ihre Chats von einem Smartphone ausführen", zitiert The Hacker News einen der beteiligten Mitarbeiter.

Secret Conversations nicht betroffen

Die erst kürzlich von Facebook eingeführten, Ende-zu-Ende-verschlüsselten "Secret Conversations" seien von der Schwachstelle nicht betroffen. Sie blieben auch nach dem Abfischen durch einen Angreifer unlesbar. Secret Conversations stehen allerdings ausschließlich über Facebooks Mobil-App zur Verfügung und sind auch dort - anders als beispielsweise bei Signal - nicht standardmäßig aktiviert. Die große Mehrheit der Nutzer versendet also vermutlich Klartext-Nachrichten.

Die Entdecker der Lücke haben Facebook nach eigenen Angaben über sein Bug-Bounty-Programm informiert. Das Unternehmen habe die Schwachstelle anerkannt und innerhalb weniger Tage entfernt.

Nicht die erste Lücke

Erst im Juni hatte eine Sicherheitsfirma eine andere Lücke im Facebook Messenger gefunden, durch die Angreifer in der Lage waren, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Auch hier hatte Facebook innerhalb kurzer Zeit einen Fix bereitgestellt.



Anzeige
Top-Angebote
  1. 199€ (Vergleichspreis 265,99€)
  2. 269€ (Vergleichspreis 319€)HP Pavilion 32
  3. 3,82€

Xiut 17. Dez 2016

Genau... Was für eine Logik... Aber du scheinst wohl auch nicht die entsprechende Reife...


Folgen Sie uns
       


HTC Vive Pro - Test

Das HTC Vive Pro ist ein beeindruckendes Headset und ein sehr gutes Gesamtkonzept. Allerdings zweifeln wir am Erfolg des Produktes in unserem Test - und zwar wegen des sehr hohen Kaufpreises und fehlenden Zubehörs.

HTC Vive Pro - Test Video aufrufen
Indiegames-Rundschau: Mutige Mäuse und tapfere Trabbis
Indiegames-Rundschau
Mutige Mäuse und tapfere Trabbis

Grafikwucht beim ganz großen Maus-Abenteuer oder lieber Simulationstiefe beim Mischen des Treibstoffs für den Trabbi? Wieder haben Fans von Indiegames die Qual der Wahl - wir stellen die interessantesten Neuheiten vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  2. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
Adblock Plus
Bundesgerichtshof erlaubt Einsatz von Werbeblockern

Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

  1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /