Facebook hat eine als kritisch zu bezeichnende Schwachstelle beseitigt, die es einem Angreifer ermöglicht hätte, vertrauliche Daten von Facebook-Nutzern auszuspähen. Sie steckte in der Suchfunktion des Social Network, die in einem iFrame-Element Nutzerdaten preisgab. Entdeckt wurde der Fehler von Ron Masas, Sicherheitsforscher bei Imperva.
Einfache mit Ja oder Nein zu beantwortende Fragen lieferten Masas anschließend persönliche Informationen über einen Nutzer und auch dessen Freunde. Beispielsweise fragte er, ob einem Nutzer eine bestimmte Seite gefällt, ob er an einem bestimmten Ort Fotos aufgenommen hat, ob er Freunde mit einer bestimmten Religionszugehörigkeit hat, ob er Beiträge mit einem bestimmten Text geteilt hat, ob er Freunde mit einem bestimmten Namen hat oder Freunde, die in bestimmten Städten oder Ländern leben.
Da einige dieser Suchanfragen nicht über die öffentliche Suchfunktion von Facebook zur Verfügung stehen, erstellte Masas eine schädliche Website, auf die ein Angreifer seine Opfer locken könnte. Würde ein Nutzer mit der Seite interagieren, würde sie automatisch im Hintergrund JavaScript ausführen, der in einem neuen Tab die gewünschten Suchanfragen stellt.
Eine Technik namens „Tab Under“ würde es laut Masas einem Angreifer erlauben, das Öffnen der Facebook-Suchseite in einem Hintergrund-Tab zu erzwingen, um die Aufmerksamkeit des Nutzers auf schädliche Website zu konzentrieren – die wiederum eine Online-Spiel, eine Streaming-Portal oder auch ein Nachrichtenartikel sein könne.
Im Gespräch mit ZDNet USA betonte Masas, dass der Angriff mit allen Browsern funktioniert. Auch sei es nicht notwendig, für jede Suchanfrage einen neuen Hintergrund-Tab zu öffnen. Vielmehr sei es ausreichend, den Tab im Hintergrund neu zu laden.
Das Social Network informierte der Forscher bereits im Mai 2018 über die Sicherheitslücke. Sie sei kurz darauf geschlossen worden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
