Sicherheitsforscher: Facebook ist anfällig für Clickjacking

Die Sicherheitsforscher Nitesh Dhanjani und Shlomi Narkolayev haben davor gewarnt, dass Facebook anfällig für Clickjacking ist. Ein Angreifer könne ein Mitglied des Social Network zum Besuch einer manipulierten Website verleiten, die beispielsweise wie eine E-Commerce- oder Video-Site aussehe, im Hintergrund aber unbemerkt die Log-in-Seite von Facebook aufrufe. Klickt der Nutzer dann auf einen Link, etwa in dem Glauben, ein Video zu starten, öffnet er stattdessen unbewusst seinen Facebook-Account.

„Mit Clickjacking kann ich einen User dazu bringen, auf alles zu klicken, was ich will: Mich als neuen Freund hinzufügen, sein Konto zu löschen oder seine Kamera und Mikrofon freizugeben“, schreibt Narkolayev in einem Blogeintrag. Letzteres funktioniere nur mit Flash 9.x oder älteren Versionen. Einen erfolgreichen Clickjacking-Angriff demonstriert er in einem Video. Neben Facebook seien auch andere Websites für diese Art von Angriffen anfällig, so der Sicherheitsforscher.

Facebook-Sprecher Simon Axton erklärte, bei den genannten Beispielen handele es sich um normales Clickjacking, das sich nicht auf Facebook beschränke. „Wir arbeiten an zusätzlichen Sicherheitsvorkehrungen für diese Art von Angriffen“, so Axton. Zudem rät er zur Vorsicht beim Umgang mit verdächtigen Nachrichten oder Links, die ein Nutzer auf Facebook erhalte.

Nitesh Dhanjani hat zudem auf einen Fehler in Facebook hingewiesen, der Anwendungen von Drittanbietern Zugriff auf Nutzerdaten ermögliche, ohne dass die Mitglieder dem zugestimmt hätten. Facebook habe seine Richtlinien geändert und biete Entwicklern eine spezielle Funktion an, die User nicht mehr davor warne, wenn eine Anwendung auf ihre Daten zugreife. Die Warnungen hätten in der Vergangenheit Mitglieder davon abgehalten, bestimmte Anwendungen in ihr Profil zu integrieren. „Das ermöglicht Facebook eine höhere Verbreitung von Drittanbieter-Software, woraus sich Umsätze ergeben können“, sagte Dhanjani.