Abo
  • Services:
Anzeige
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Manipulierte Nachrichten: Sicherheitslücke im Facebook-Messenger

Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Hacker konnten Nachrichten manipulieren und Nutzern gefälschte, bösartige Links unterschieben. Die Sicherheitslücke betrifft Facebooks Messenger-App und die Browserversion des Chats.

Die Sicherheitsfirma Checkpoint hat eine schwerwiegende Schwachstelle in Facebooks Messenger-Dienst gefunden. Angreifer waren demnach in der Lage, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Facebook hat die Lücke mittlerweile geschlossen.

Anzeige

"Wenn Sie diese Sicherheitslücke ausnutzen, können Kriminelle ganz Chatverläufe ändern, ohne dass das Opfer es merkt," sagte Oded Vanunu von Checkpoint. "Wir gratulieren Facebook, dass sie sehr schnell auf unsere Meldung reagiert haben und ihre Nutzer schützen", heißt es in dem Statement weiter.

Die Schwachstelle betrifft die Art und Weise, wie Facebook einzelne Chatnachrichten speichert. Jede einzelne Nachricht hat eine eigene "message_id", die sowohl auf Facebooks Server als auch offline gespeichert wird. Angreifer konnten eine Anfrage an die Adresse www.facebook.com/ajax/mercury/thread_info.php richten und dann lokal die Message-ID auslesen. Wenn sie dann den Inhalt der Nachricht veränderten und an Facebooks Server sendeten, wurde der Inhalt an der entsprechenden Message-ID überschrieben.

Beweismittel könnten manipuliert sein

Diese Änderungen wären natürlich an die Endgeräte der Nutzer weitergegeben worden. Angreifer hätten sich die Sicherheitslücke zunutze machen und Gesprächsverläufe nachträglich manipulieren können. Wenn Facebook dann von einem Gericht zur Herausgabe der Informationen verpflichtet würde, könnten so Beweismittel vernichtet werden.

Außerdem, schreibt Checkpoint, hätten Angreifer Nutzern auch manipulierte Links schicken können. Dazu würde zunächst eine Datei mit korrektem Link oder Anhang geschickt und diese im Nachhinein verändert, so dass die Verknüpfung auf einen bösartigen Inhalt zeige. Wenn der Nutzer dann noch einmal auf den Inhalt zu klicke, könne er zum Beispiel mit Ransomware infiziert werden.

Für das Angriffsszenario hätten sich Angreifer und Opfer gemeinsam in einem Chat befinden müssen. Gerade Chats mit Unternehmen wären für Angereifer ein lohnendes Szenario. Wäre es gelungen, den Account eines Bekannten des Opfers zu übernehmen, hätte mit diesem Szenario außerdem mittels Social-Engineering potentiell weitereichende Angriffe ausgeführt werden können, weil das Opfer möglicherweise dem vermeintlichen Freund vertraut hätte.


eye home zur Startseite
Hu5eL 09. Jun 2016

setzen 6 - am Thema vorbei. Wer behauptet, dass FB das bewusst macht...



Anzeige

Stellenmarkt
  1. über Hays AG, Nürnberg
  2. P+Z Engineering GmbH, München
  3. TUI InfoTec GmbH, Hannover
  4. Elektror airsystems GmbH, Ostfildern bei Stuttgart


Anzeige
Hardware-Angebote
  1. 1.499,00€
  2. täglich neue Deals

Folgen Sie uns
       


  1. Vodafone

    Callya-Flex-Tarife bekommen mehr Datenvolumen

  2. Elektromobilität

    Lithium ist genug vorhanden, aber es wird teurer

  3. Indiegames-Rundschau

    Krawall mit Knetmännchen und ein Mann im Fass

  4. Microsoft

    Surface Book 2 mit 15 Zoll kommt nach Deutschland

  5. Patent

    Huawei untersucht alternative Smartwatch-Bedienung

  6. AirSpaceX

    Lufttaxi Mobi-One kann fliegen und fahren

  7. NGSFF alias M.3

    Adata zeigt seine erste SSD mit breiterer Platine

  8. Ransomware

    Krankenhaus zahlt 60.000 US-Dollar trotz Backups

  9. Curie

    Google verlegt drei neue Seekabel

  10. Auto

    Ferrari plant elektrischen Supersportwagen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

Kryptowährungen: Von Tulpen, Berg- und Talfahrten
Kryptowährungen
Von Tulpen, Berg- und Talfahrten
  1. Bitcoin Israels Marktaufsicht will Kryptoverbot an Börse durchsetzen
  2. Geldwäsche EU will den Bitcoin weniger anonym machen
  3. Kryptowährung 4.700 Bitcoin von Handelsplattform Nicehash gestohlen

  1. Re: Es gibt gute Gründe, seine Nachbarn...

    Lagganmhouillin | 14:12

  2. Re: Wieviel bekommt der Redakteur für den Artikel?

    Trollversteher | 14:12

  3. Re: Preise pro kW/H

    stiGGG | 14:11

  4. Re: Kein Backup? Kein Mitleid!

    lestard | 14:10

  5. Re: Zweifle an dem Nutzen solcher Studien

    PearNotApple | 14:10


  1. 13:25

  2. 12:30

  3. 12:00

  4. 11:48

  5. 11:20

  6. 10:45

  7. 10:25

  8. 09:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel