Facebook schließt schwerwiegende Sicherheitslücke

Facebook hat eine als kritisch zu bezeichnende Schwachstelle beseitigt, die es einem Angreifer ermöglicht hätte, vertrauliche Daten von Facebook-Nutzern auszuspähen. Sie steckte in der Suchfunktion des Social Network, die in einem iFrame-Element Nutzerdaten preisgab. Entdeckt wurde der Fehler von Ron Masas, Sicherheitsforscher bei Imperva.

„Ich habe die Online-Suchergebnisse von Facebook durchstöbert, und in ihrem HTML habe ich festgestellt, dass jedes Ergebnis ein iFrame-Element enthält – wahrscheinlich wird es für das interne Tracking von Facebook verwendet“, sagte Masas. Danach habe er erkannt, dass die Suche nach iFrames in der Seite mit den Suchergebnissen zeige, ob eine Suchanfrage ein positives oder negatives Ergebnis habe.

Einfache mit Ja oder Nein zu beantwortende Fragen lieferten Masas anschließend persönliche Informationen über einen Nutzer und auch dessen Freunde. Beispielsweise fragte er, ob einem Nutzer eine bestimmte Seite gefällt, ob er an einem bestimmten Ort Fotos aufgenommen hat, ob er Freunde mit einer bestimmten Religionszugehörigkeit hat, ob er Beiträge mit einem bestimmten Text geteilt hat, ob er Freunde mit einem bestimmten Namen hat oder Freunde, die in bestimmten Städten oder Ländern leben.

Da einige dieser Suchanfragen nicht über die öffentliche Suchfunktion von Facebook zur Verfügung stehen, erstellte Masas eine schädliche Website, auf die ein Angreifer seine Opfer locken könnte. Würde ein Nutzer mit der Seite interagieren, würde sie automatisch im Hintergrund JavaScript ausführen, der in einem neuen Tab die gewünschten Suchanfragen stellt.

Eine Technik namens „Tab Under“ würde es laut Masas einem Angreifer erlauben, das Öffnen der Facebook-Suchseite in einem Hintergrund-Tab zu erzwingen, um die Aufmerksamkeit des Nutzers auf schädliche Website zu konzentrieren – die wiederum eine Online-Spiel, eine Streaming-Portal oder auch ein Nachrichtenartikel sein könne.

Im Gespräch mit ZDNet USA betonte Masas, dass der Angriff mit allen Browsern funktioniert. Auch sei es nicht notwendig, für jede Suchanfrage einen neuen Hintergrund-Tab zu öffnen. Vielmehr sei es ausreichend, den Tab im Hintergrund neu zu laden.

Das Social Network informierte der Forscher bereits im Mai 2018 über die Sicherheitslücke. Sie sei kurz darauf geschlossen worden.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

19 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago