Facebook schließt kritische Messenger-Lücke

Der Sicherheitsanbieter Checkpoint hat eine als kritisch eingestufte Schwachstelle in Facebook Messenger öffentlich gemacht. Sie betrifft die webbasierte Messaging-Funktion und auch die Messenger-App. Entdeckt wurde die Anfälligkeit Anfang des Monats. Checkpoint zufolge hat Facebook das Loch inzwischen gestopft.

Die Sicherheitslücke erlaubte es einem Blogeintrag zufolge eine mit Facebook Messenger geführte Konversation nachträglich zu ändern. Hacker konnten so gesendete Nachrichten und auch Fotos, Dateien und Links bearbeiten oder löschen.

Eine Lücke im Facebook Messenger ermöglichte es, Chat-Nachrichten im Nachhinein zu verändern (Bild: Checkpoint).

„Es gibt mehrere mögliche Angriffsvektoren, die die Schwachstelle ausnutzen. Sie könnten aufgrund der wichtigen Rolle von Facebook bei täglichen Aktivitäten erhebliche Auswirkungen auf Nutzer haben“, schreibt Checkpoint. Das gelte vor allem auch für die geschäftliche Nutzung von Facebook Messenger.

Manipulierte Konversationen könnten beispielsweise für Betrug benutzt werden, spekuliert das Unternehmen. „Ein Krimineller könnte den Verlauf einer Konversation ändern und behaupten, er habe eine Vereinbarung mit einem Opfer getroffen oder einfach die Bedingungen der Vereinbarung ändern.“ Facebook-Chats könnten aber auch als Beweismittel in Gerichtsprozessen dienen. Ein Angreifer könnte als Beweise für die Schuld einer Person löschen oder gar Beweise für die Schuld einer unschuldigen Person konstruieren.

Checkpoint zufolge hätte der Fehler auch benutzt werden können, um Schadsoftware zu verbreiten. „Ein Angreifer kann einen legitimen Link oder eine legitime Datei gegen einen schädlichen Link oder Datei austauschen und einen Nutzer dazu verleiten, sie zu öffnen.“ Mit derselben Methode könne ein Angreifer später sogar einen Link zu einem von ihm kontrollierten Server ändern.

ANZEIGE

Samsung SSD 950 PRO im Test

Samsung bietet mit der SSD 950 PRO die derzeit schnellste SSD für das Endkundensegment. In welchen Bereichen das auf V-NAND-Speicher und einer PCI-Express-Schnittstelle mit NVMe-Protokoll basierende Modell Vorteile gegenüber herkömmlichen SSDs und HDDs bietet, zeigt der ZDNet-Test.

„Cyberkriminelle könnten einen vollständigen Chat ändern, ohne dass das Opfer etwas merkt“, sagte Oded Vanunu, Head of Products Vulnerability Research bei Checkpoint. „Wir loben Facebook ausdrücklich für die schnelle Reaktion.“

Der Blogeintrag beschreibt auch technische Details der Sicherheitslücke. Demnach war es wohl möglich, mit bestimmten Abfragen die Message-ID einzelner Chatnachrichten abzufangen und diese Nachrichten anschließen anhand ihrer ID aufzurufen und zu bearbeiten. Den Angriff auf Facebook Messenger zeigt Checkpoint auch in einem Video.

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Starbucks von Cyberattacke betroffen

Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.

3 Stunden ago

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

7 Stunden ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

7 Stunden ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

1 Tag ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

2 Tagen ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Tagen ago