Facebook hat eine als kritisch zu bezeichnende Schwachstelle beseitigt, die es einem Angreifer ermöglicht hätte, vertrauliche Daten von Facebook-Nutzern auszuspähen. Sie steckte in der Suchfunktion des Social Network, die in einem iFrame-Element Nutzerdaten preisgab. Entdeckt wurde der Fehler von Ron Masas, Sicherheitsforscher bei Imperva.
Einfache mit Ja oder Nein zu beantwortende Fragen lieferten Masas anschließend persönliche Informationen über einen Nutzer und auch dessen Freunde. Beispielsweise fragte er, ob einem Nutzer eine bestimmte Seite gefällt, ob er an einem bestimmten Ort Fotos aufgenommen hat, ob er Freunde mit einer bestimmten Religionszugehörigkeit hat, ob er Beiträge mit einem bestimmten Text geteilt hat, ob er Freunde mit einem bestimmten Namen hat oder Freunde, die in bestimmten Städten oder Ländern leben.
Da einige dieser Suchanfragen nicht über die öffentliche Suchfunktion von Facebook zur Verfügung stehen, erstellte Masas eine schädliche Website, auf die ein Angreifer seine Opfer locken könnte. Würde ein Nutzer mit der Seite interagieren, würde sie automatisch im Hintergrund JavaScript ausführen, der in einem neuen Tab die gewünschten Suchanfragen stellt.
Eine Technik namens „Tab Under“ würde es laut Masas einem Angreifer erlauben, das Öffnen der Facebook-Suchseite in einem Hintergrund-Tab zu erzwingen, um die Aufmerksamkeit des Nutzers auf schädliche Website zu konzentrieren – die wiederum eine Online-Spiel, eine Streaming-Portal oder auch ein Nachrichtenartikel sein könne.
Im Gespräch mit ZDNet USA betonte Masas, dass der Angriff mit allen Browsern funktioniert. Auch sei es nicht notwendig, für jede Suchanfrage einen neuen Hintergrund-Tab zu öffnen. Vielmehr sei es ausreichend, den Tab im Hintergrund neu zu laden.
Das Social Network informierte der Forscher bereits im Mai 2018 über die Sicherheitslücke. Sie sei kurz darauf geschlossen worden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…