Sicherheitsforscher: Facebook ist anfällig für Clickjacking

Die Sicherheitsforscher Nitesh Dhanjani und Shlomi Narkolayev haben davor gewarnt, dass Facebook anfällig für Clickjacking ist. Ein Angreifer könne ein Mitglied des Social Network zum Besuch einer manipulierten Website verleiten, die beispielsweise wie eine E-Commerce- oder Video-Site aussehe, im Hintergrund aber unbemerkt die Log-in-Seite von Facebook aufrufe. Klickt der Nutzer dann auf einen Link, etwa in dem Glauben, ein Video zu starten, öffnet er stattdessen unbewusst seinen Facebook-Account.

„Mit Clickjacking kann ich einen User dazu bringen, auf alles zu klicken, was ich will: Mich als neuen Freund hinzufügen, sein Konto zu löschen oder seine Kamera und Mikrofon freizugeben“, schreibt Narkolayev in einem Blogeintrag. Letzteres funktioniere nur mit Flash 9.x oder älteren Versionen. Einen erfolgreichen Clickjacking-Angriff demonstriert er in einem Video. Neben Facebook seien auch andere Websites für diese Art von Angriffen anfällig, so der Sicherheitsforscher.

Facebook-Sprecher Simon Axton erklärte, bei den genannten Beispielen handele es sich um normales Clickjacking, das sich nicht auf Facebook beschränke. „Wir arbeiten an zusätzlichen Sicherheitsvorkehrungen für diese Art von Angriffen“, so Axton. Zudem rät er zur Vorsicht beim Umgang mit verdächtigen Nachrichten oder Links, die ein Nutzer auf Facebook erhalte.

Nitesh Dhanjani hat zudem auf einen Fehler in Facebook hingewiesen, der Anwendungen von Drittanbietern Zugriff auf Nutzerdaten ermögliche, ohne dass die Mitglieder dem zugestimmt hätten. Facebook habe seine Richtlinien geändert und biete Entwicklern eine spezielle Funktion an, die User nicht mehr davor warne, wenn eine Anwendung auf ihre Daten zugreife. Die Warnungen hätten in der Vergangenheit Mitglieder davon abgehalten, bestimmte Anwendungen in ihr Profil zu integrieren. „Das ermöglicht Facebook eine höhere Verbreitung von Drittanbieter-Software, woraus sich Umsätze ergeben können“, sagte Dhanjani.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago