Facebook hat eine als kritisch zu bezeichnende Schwachstelle beseitigt, die es einem Angreifer ermöglicht hätte, vertrauliche Daten von Facebook-Nutzern auszuspähen. Sie steckte in der Suchfunktion des Social Network, die in einem iFrame-Element Nutzerdaten preisgab. Entdeckt wurde der Fehler von Ron Masas, Sicherheitsforscher bei Imperva.
Einfache mit Ja oder Nein zu beantwortende Fragen lieferten Masas anschließend persönliche Informationen über einen Nutzer und auch dessen Freunde. Beispielsweise fragte er, ob einem Nutzer eine bestimmte Seite gefällt, ob er an einem bestimmten Ort Fotos aufgenommen hat, ob er Freunde mit einer bestimmten Religionszugehörigkeit hat, ob er Beiträge mit einem bestimmten Text geteilt hat, ob er Freunde mit einem bestimmten Namen hat oder Freunde, die in bestimmten Städten oder Ländern leben.
Da einige dieser Suchanfragen nicht über die öffentliche Suchfunktion von Facebook zur Verfügung stehen, erstellte Masas eine schädliche Website, auf die ein Angreifer seine Opfer locken könnte. Würde ein Nutzer mit der Seite interagieren, würde sie automatisch im Hintergrund JavaScript ausführen, der in einem neuen Tab die gewünschten Suchanfragen stellt.
Eine Technik namens „Tab Under“ würde es laut Masas einem Angreifer erlauben, das Öffnen der Facebook-Suchseite in einem Hintergrund-Tab zu erzwingen, um die Aufmerksamkeit des Nutzers auf schädliche Website zu konzentrieren – die wiederum eine Online-Spiel, eine Streaming-Portal oder auch ein Nachrichtenartikel sein könne.
Im Gespräch mit ZDNet USA betonte Masas, dass der Angriff mit allen Browsern funktioniert. Auch sei es nicht notwendig, für jede Suchanfrage einen neuen Hintergrund-Tab zu öffnen. Vielmehr sei es ausreichend, den Tab im Hintergrund neu zu laden.
Das Social Network informierte der Forscher bereits im Mai 2018 über die Sicherheitslücke. Sie sei kurz darauf geschlossen worden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
