Abo
  • Services:
Anzeige
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Manipulierte Nachrichten: Sicherheitslücke im Facebook-Messenger

Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Hacker konnten Nachrichten manipulieren und Nutzern gefälschte, bösartige Links unterschieben. Die Sicherheitslücke betrifft Facebooks Messenger-App und die Browserversion des Chats.

Die Sicherheitsfirma Checkpoint hat eine schwerwiegende Schwachstelle in Facebooks Messenger-Dienst gefunden. Angreifer waren demnach in der Lage, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Facebook hat die Lücke mittlerweile geschlossen.

Anzeige

"Wenn Sie diese Sicherheitslücke ausnutzen, können Kriminelle ganz Chatverläufe ändern, ohne dass das Opfer es merkt," sagte Oded Vanunu von Checkpoint. "Wir gratulieren Facebook, dass sie sehr schnell auf unsere Meldung reagiert haben und ihre Nutzer schützen", heißt es in dem Statement weiter.

Die Schwachstelle betrifft die Art und Weise, wie Facebook einzelne Chatnachrichten speichert. Jede einzelne Nachricht hat eine eigene "message_id", die sowohl auf Facebooks Server als auch offline gespeichert wird. Angreifer konnten eine Anfrage an die Adresse www.facebook.com/ajax/mercury/thread_info.php richten und dann lokal die Message-ID auslesen. Wenn sie dann den Inhalt der Nachricht veränderten und an Facebooks Server sendeten, wurde der Inhalt an der entsprechenden Message-ID überschrieben.

Beweismittel könnten manipuliert sein

Diese Änderungen wären natürlich an die Endgeräte der Nutzer weitergegeben worden. Angreifer hätten sich die Sicherheitslücke zunutze machen und Gesprächsverläufe nachträglich manipulieren können. Wenn Facebook dann von einem Gericht zur Herausgabe der Informationen verpflichtet würde, könnten so Beweismittel vernichtet werden.

Außerdem, schreibt Checkpoint, hätten Angreifer Nutzern auch manipulierte Links schicken können. Dazu würde zunächst eine Datei mit korrektem Link oder Anhang geschickt und diese im Nachhinein verändert, so dass die Verknüpfung auf einen bösartigen Inhalt zeige. Wenn der Nutzer dann noch einmal auf den Inhalt zu klicke, könne er zum Beispiel mit Ransomware infiziert werden.

Für das Angriffsszenario hätten sich Angreifer und Opfer gemeinsam in einem Chat befinden müssen. Gerade Chats mit Unternehmen wären für Angereifer ein lohnendes Szenario. Wäre es gelungen, den Account eines Bekannten des Opfers zu übernehmen, hätte mit diesem Szenario außerdem mittels Social-Engineering potentiell weitereichende Angriffe ausgeführt werden können, weil das Opfer möglicherweise dem vermeintlichen Freund vertraut hätte.


eye home zur Startseite
Hu5eL 09. Jun 2016

setzen 6 - am Thema vorbei. Wer behauptet, dass FB das bewusst macht...



Anzeige

Stellenmarkt
  1. Universität Bielefeld, Bielefeld
  2. FILIADATA GmbH, Karlsruhe
  3. über Hays AG, Bad Homburg
  4. Online Verlag GmbH Freiburg, Freiburg


Anzeige
Blu-ray-Angebote
  1. 69,99€ (DVD 54,99€)
  2. (u. a. The Hateful 8, James Bond Spectre, John Wick, Fifty Shades of Grey, London Has Fallen)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Hoversurf

    Hoverbike Scorpion-3 ist ein Motorradcopter

  2. Rubbelcard

    Freenet-TV-Guthabenkarten gehen in den Verkauf

  3. Nintendo

    Interner Speicher von Switch offenbar schon jetzt zu klein

  4. Noch 100 Tage

    Unitymedia schaltet Analogfernsehen schrittweise ab

  5. Routerfreiheit

    Tagelange Störung bei Aktivierungsportal von Vodafone

  6. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  7. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  8. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  9. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  10. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. MX Board Silent Mechanische Tastatur von Cherry bringt Ruhe ins Büro
  2. Smartphone TCL will neues Blackberry mit Tastatur bringen
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Re: "Zertifizierung als Linux-Administrator"

    Stormking | 22:04

  2. Re: Hilft bei Dr Who leider auch nicht mehr :(

    ibsi | 22:04

  3. Re: Biete Job für Linux-Profi in Bremen

    Vollhorst | 22:03

  4. Re: Erfahrungsbericht aus der echten Praxis...

    Schnarchnase | 22:02

  5. Re: "Beim Anschauen von Streams macht sich die...

    Flexy | 22:01


  1. 18:30

  2. 18:14

  3. 16:18

  4. 15:53

  5. 15:29

  6. 15:00

  7. 14:45

  8. 14:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel