Sicherheitsforscher: Facebook ist anfällig für Clickjacking

Die Sicherheitsforscher Nitesh Dhanjani und Shlomi Narkolayev haben davor gewarnt, dass Facebook anfällig für Clickjacking ist. Ein Angreifer könne ein Mitglied des Social Network zum Besuch einer manipulierten Website verleiten, die beispielsweise wie eine E-Commerce- oder Video-Site aussehe, im Hintergrund aber unbemerkt die Log-in-Seite von Facebook aufrufe. Klickt der Nutzer dann auf einen Link, etwa in dem Glauben, ein Video zu starten, öffnet er stattdessen unbewusst seinen Facebook-Account.

„Mit Clickjacking kann ich einen User dazu bringen, auf alles zu klicken, was ich will: Mich als neuen Freund hinzufügen, sein Konto zu löschen oder seine Kamera und Mikrofon freizugeben“, schreibt Narkolayev in einem Blogeintrag. Letzteres funktioniere nur mit Flash 9.x oder älteren Versionen. Einen erfolgreichen Clickjacking-Angriff demonstriert er in einem Video. Neben Facebook seien auch andere Websites für diese Art von Angriffen anfällig, so der Sicherheitsforscher.

Facebook-Sprecher Simon Axton erklärte, bei den genannten Beispielen handele es sich um normales Clickjacking, das sich nicht auf Facebook beschränke. „Wir arbeiten an zusätzlichen Sicherheitsvorkehrungen für diese Art von Angriffen“, so Axton. Zudem rät er zur Vorsicht beim Umgang mit verdächtigen Nachrichten oder Links, die ein Nutzer auf Facebook erhalte.

Nitesh Dhanjani hat zudem auf einen Fehler in Facebook hingewiesen, der Anwendungen von Drittanbietern Zugriff auf Nutzerdaten ermögliche, ohne dass die Mitglieder dem zugestimmt hätten. Facebook habe seine Richtlinien geändert und biete Entwicklern eine spezielle Funktion an, die User nicht mehr davor warne, wenn eine Anwendung auf ihre Daten zugreife. Die Warnungen hätten in der Vergangenheit Mitglieder davon abgehalten, bestimmte Anwendungen in ihr Profil zu integrieren. „Das ermöglicht Facebook eine höhere Verbreitung von Drittanbieter-Software, woraus sich Umsätze ergeben können“, sagte Dhanjani.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

16 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

17 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

24 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago