Abo
  • IT-Karriere:

Manipulierte Nachrichten: Sicherheitslücke im Facebook-Messenger

Hacker konnten Nachrichten manipulieren und Nutzern gefälschte, bösartige Links unterschieben. Die Sicherheitslücke betrifft Facebooks Messenger-App und die Browserversion des Chats.

Artikel veröffentlicht am ,
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Die Sicherheitsfirma Checkpoint hat eine schwerwiegende Schwachstelle in Facebooks Messenger-Dienst gefunden. Angreifer waren demnach in der Lage, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Facebook hat die Lücke mittlerweile geschlossen.

Stellenmarkt
  1. GEWOBAU Wohnungsgenossenschaft Essen eG, Essen
  2. operational services GmbH & Co. KG, Nürnberg, Dresden, Berlin, Frankfurt am Main, München, Braunschweig, Wolfsburg, Zwickau

"Wenn Sie diese Sicherheitslücke ausnutzen, können Kriminelle ganz Chatverläufe ändern, ohne dass das Opfer es merkt," sagte Oded Vanunu von Checkpoint. "Wir gratulieren Facebook, dass sie sehr schnell auf unsere Meldung reagiert haben und ihre Nutzer schützen", heißt es in dem Statement weiter.

Die Schwachstelle betrifft die Art und Weise, wie Facebook einzelne Chatnachrichten speichert. Jede einzelne Nachricht hat eine eigene "message_id", die sowohl auf Facebooks Server als auch offline gespeichert wird. Angreifer konnten eine Anfrage an die Adresse www.facebook.com/ajax/mercury/thread_info.php richten und dann lokal die Message-ID auslesen. Wenn sie dann den Inhalt der Nachricht veränderten und an Facebooks Server sendeten, wurde der Inhalt an der entsprechenden Message-ID überschrieben.

Beweismittel könnten manipuliert sein

Diese Änderungen wären natürlich an die Endgeräte der Nutzer weitergegeben worden. Angreifer hätten sich die Sicherheitslücke zunutze machen und Gesprächsverläufe nachträglich manipulieren können. Wenn Facebook dann von einem Gericht zur Herausgabe der Informationen verpflichtet würde, könnten so Beweismittel vernichtet werden.

Außerdem, schreibt Checkpoint, hätten Angreifer Nutzern auch manipulierte Links schicken können. Dazu würde zunächst eine Datei mit korrektem Link oder Anhang geschickt und diese im Nachhinein verändert, so dass die Verknüpfung auf einen bösartigen Inhalt zeige. Wenn der Nutzer dann noch einmal auf den Inhalt zu klicke, könne er zum Beispiel mit Ransomware infiziert werden.

Für das Angriffsszenario hätten sich Angreifer und Opfer gemeinsam in einem Chat befinden müssen. Gerade Chats mit Unternehmen wären für Angereifer ein lohnendes Szenario. Wäre es gelungen, den Account eines Bekannten des Opfers zu übernehmen, hätte mit diesem Szenario außerdem mittels Social-Engineering potentiell weitereichende Angriffe ausgeführt werden können, weil das Opfer möglicherweise dem vermeintlichen Freund vertraut hätte.



Anzeige
Top-Angebote
  1. (u. a. Predator - Upgrade, Red Sparrow, Specttre, White Collar - komplette Serie)
  2. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  3. 99,90€ (Bestpreis!)
  4. (u. a. Ghost recon Wildlands Ultimate Edition für 35,99€, The Banner Saga 3 für 9,99€, Mega...

Hu5eL 09. Jun 2016

setzen 6 - am Thema vorbei. Wer behauptet, dass FB das bewusst macht...


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

Akku-FAQ: Vergesst den Memory-Effekt - vorerst!
Akku-FAQ
Vergesst den Memory-Effekt - vorerst!

Soll man Akkus ganz entladen oder nie unter 20 Prozent fallen lassen - oder garantiert ein ganz anderes Verhalten eine möglichst lange Lebensdauer? Und was ist mit dem Memory-Effekt? Wir geben Antworten.
Von Frank Wunderlich-Pfeiffer

  1. Müll Pfand auf Fahrrad-Akkus gefordert
  2. Akku-FAQ Wo bleiben billige E-Autos?
  3. Echion Technologies Neuer Akku soll sich in sechs Minuten laden lassen

    •  /