Abo
  • Services:
Anzeige
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Manipulierte Nachrichten: Sicherheitslücke im Facebook-Messenger

Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren.
Facebook-Messenger-Nachrichten ließen sich durch einen Fehler einfach manipulieren. (Bild: Josh Edelson/AFP/Getty Images)

Hacker konnten Nachrichten manipulieren und Nutzern gefälschte, bösartige Links unterschieben. Die Sicherheitslücke betrifft Facebooks Messenger-App und die Browserversion des Chats.

Die Sicherheitsfirma Checkpoint hat eine schwerwiegende Schwachstelle in Facebooks Messenger-Dienst gefunden. Angreifer waren demnach in der Lage, Kommunikationsvorgänge zu manipulieren und so die Historie zu verändern oder Malware einzuschleusen. Facebook hat die Lücke mittlerweile geschlossen.

Anzeige

"Wenn Sie diese Sicherheitslücke ausnutzen, können Kriminelle ganz Chatverläufe ändern, ohne dass das Opfer es merkt," sagte Oded Vanunu von Checkpoint. "Wir gratulieren Facebook, dass sie sehr schnell auf unsere Meldung reagiert haben und ihre Nutzer schützen", heißt es in dem Statement weiter.

Die Schwachstelle betrifft die Art und Weise, wie Facebook einzelne Chatnachrichten speichert. Jede einzelne Nachricht hat eine eigene "message_id", die sowohl auf Facebooks Server als auch offline gespeichert wird. Angreifer konnten eine Anfrage an die Adresse www.facebook.com/ajax/mercury/thread_info.php richten und dann lokal die Message-ID auslesen. Wenn sie dann den Inhalt der Nachricht veränderten und an Facebooks Server sendeten, wurde der Inhalt an der entsprechenden Message-ID überschrieben.

Beweismittel könnten manipuliert sein

Diese Änderungen wären natürlich an die Endgeräte der Nutzer weitergegeben worden. Angreifer hätten sich die Sicherheitslücke zunutze machen und Gesprächsverläufe nachträglich manipulieren können. Wenn Facebook dann von einem Gericht zur Herausgabe der Informationen verpflichtet würde, könnten so Beweismittel vernichtet werden.

Außerdem, schreibt Checkpoint, hätten Angreifer Nutzern auch manipulierte Links schicken können. Dazu würde zunächst eine Datei mit korrektem Link oder Anhang geschickt und diese im Nachhinein verändert, so dass die Verknüpfung auf einen bösartigen Inhalt zeige. Wenn der Nutzer dann noch einmal auf den Inhalt zu klicke, könne er zum Beispiel mit Ransomware infiziert werden.

Für das Angriffsszenario hätten sich Angreifer und Opfer gemeinsam in einem Chat befinden müssen. Gerade Chats mit Unternehmen wären für Angereifer ein lohnendes Szenario. Wäre es gelungen, den Account eines Bekannten des Opfers zu übernehmen, hätte mit diesem Szenario außerdem mittels Social-Engineering potentiell weitereichende Angriffe ausgeführt werden können, weil das Opfer möglicherweise dem vermeintlichen Freund vertraut hätte.


eye home zur Startseite
Hu5eL 09. Jun 2016

setzen 6 - am Thema vorbei. Wer behauptet, dass FB das bewusst macht...



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
  2. operational services GmbH & Co. KG, Berlin, Dresden
  3. DERMALOG Identification Systems GmbH, Hamburg
  4. Consors Finanz, München, Duisburg


Anzeige
Top-Angebote
  1. (u. a. Sony Alpha 6000 Bundle für 499€ und Lenovo C2 für 59€)
  2. 59,99€
  3. (heute u. a. mit Dremel-Artikeln, Roccat-Mäusen und Sony Alpha 6000 + Objektiv AF E 16-50 mm für...

Folgen Sie uns
       


  1. Apple

    Xcode 9 bringt Entwicklertools für CoreML und Metal 2

  2. Messenger

    Wire-Server steht komplett unter Open-Source-Lizenz

  3. Smart Glass

    Amazon plant Alexa-Brille

  4. Google

    Das Pixelbook wird ein 1.200-Dollar-Chromebook

  5. Breko

    Bürger sollen 1.500 Euro Prämie für FTTH bekommen

  6. Google

    Neue Pixel-Smartphones und Daydream View geleakt

  7. Auftragsfertiger

    Intel zeigt 10-nm-Wafer und verliert Kunden

  8. Google Home Mini

    Google plant Echo-Dot-Konkurrenten mit Google Assistant

  9. Drei Modelle vorgestellt

    Elektrokleinwagen e.Go erhöht die Spannung

  10. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mini-Smartphone Jelly im Test: Winzig, gewöhnungsbedürftig, nutzbar
Mini-Smartphone Jelly im Test
Winzig, gewöhnungsbedürftig, nutzbar
  1. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor
  2. Leia RED verrät Details zum Holo-Display seines Smartphones
  3. Smartphones Absatz in Deutschland stagniert, Umsatz steigt leicht

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

  1. Re: Apple schafft das, was Microsoft nie...

    Lemo | 11:16

  2. Re: Die Preise sind doch nicht mehr normal...

    Dino13 | 11:16

  3. Re: Was nützt mir Fiber To The Home...?

    neocron | 11:16

  4. Re: Als Apple-Kunde ist man in der Hand der Firma

    Walter Plinge | 11:14

  5. Re: AI gibt es nicht.

    Trollversteher | 11:12


  1. 11:17

  2. 11:02

  3. 10:47

  4. 10:32

  5. 10:18

  6. 09:55

  7. 08:45

  8. 08:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel