Manipulierte Nachrichten: Sicherheitslücke im Facebook-Messenger

Hacker konnten Nachrichten manipulieren und Nutzern gefälschte, bösartige Links unterschieben. Die Sicherheitslücke betrifft Facebooks Messenger-App und die Browserversion des Chats.

Artikel veröffentlicht am ,
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Die Sicherheitsfirma Checkpoint hat eine schwerwiegende Schwachstelle in Facebooks Messenger-Dienst gefunden. Angreifer waren demnach in der Lage, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Facebook hat die Lücke mittlerweile geschlossen.

Stellenmarkt
  1. Softwareentwickler für C++ / Python (m/w/d)
    e.solutions GmbH, Erlangen
  2. Trainer (m/w/d) für Software-Qualitätssicherung
    imbus AG, Möhrendorf bei Erlangen, bundes­weiter Einsatz
Detailsuche

"Wenn Sie diese Sicherheitslücke ausnutzen, können Kriminelle ganz Chatverläufe ändern, ohne dass das Opfer es merkt," sagte Oded Vanunu von Checkpoint. "Wir gratulieren Facebook, dass sie sehr schnell auf unsere Meldung reagiert haben und ihre Nutzer schützen", heißt es in dem Statement weiter.

Die Schwachstelle betrifft die Art und Weise, wie Facebook einzelne Chatnachrichten speichert. Jede einzelne Nachricht hat eine eigene "message_id", die sowohl auf Facebooks Server als auch offline gespeichert wird. Angreifer konnten eine Anfrage an die Adresse www.facebook.com/ajax/mercury/thread_info.php richten und dann lokal die Message-ID auslesen. Wenn sie dann den Inhalt der Nachricht veränderten und an Facebooks Server sendeten, wurde der Inhalt an der entsprechenden Message-ID überschrieben.

Beweismittel könnten manipuliert sein

Diese Änderungen wären natürlich an die Endgeräte der Nutzer weitergegeben worden. Angreifer hätten sich die Sicherheitslücke zunutze machen und Gesprächsverläufe nachträglich manipulieren können. Wenn Facebook dann von einem Gericht zur Herausgabe der Informationen verpflichtet würde, könnten so Beweismittel vernichtet werden.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Außerdem, schreibt Checkpoint, hätten Angreifer Nutzern auch manipulierte Links schicken können. Dazu würde zunächst eine Datei mit korrektem Link oder Anhang geschickt und diese im Nachhinein verändert, so dass die Verknüpfung auf einen bösartigen Inhalt zeige. Wenn der Nutzer dann noch einmal auf den Inhalt zu klicke, könne er zum Beispiel mit Ransomware infiziert werden.

Für das Angriffsszenario hätten sich Angreifer und Opfer gemeinsam in einem Chat befinden müssen. Gerade Chats mit Unternehmen wären für Angereifer ein lohnendes Szenario. Wäre es gelungen, den Account eines Bekannten des Opfers zu übernehmen, hätte mit diesem Szenario außerdem mittels Social-Engineering potentiell weitereichende Angriffe ausgeführt werden können, weil das Opfer möglicherweise dem vermeintlichen Freund vertraut hätte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /