Sicherheitsforscher: Facebook ist anfällig für Clickjacking

Beim Besuch einer manipulierten Website öffnet sich im Hintergrund unbemerkt die Log-in-Seite des Social Network. Clickjacking betrifft laut Facebook auch andere Websites. Das Unternehmen arbeitet an zusätzlichen Sicherheitsvorkehrungen.

Die Sicherheitsforscher Nitesh Dhanjani und Shlomi Narkolayev haben davor gewarnt, dass Facebook anfällig für Clickjacking ist. Ein Angreifer könne ein Mitglied des Social Network zum Besuch einer manipulierten Website verleiten, die beispielsweise wie eine E-Commerce- oder Video-Site aussehe, im Hintergrund aber unbemerkt die Log-in-Seite von Facebook aufrufe. Klickt der Nutzer dann auf einen Link, etwa in dem Glauben, ein Video zu starten, öffnet er stattdessen unbewusst seinen Facebook-Account.

„Mit Clickjacking kann ich einen User dazu bringen, auf alles zu klicken, was ich will: Mich als neuen Freund hinzufügen, sein Konto zu löschen oder seine Kamera und Mikrofon freizugeben“, schreibt Narkolayev in einem Blogeintrag. Letzteres funktioniere nur mit Flash 9.x oder älteren Versionen. Einen erfolgreichen Clickjacking-Angriff demonstriert er in einem Video. Neben Facebook seien auch andere Websites für diese Art von Angriffen anfällig, so der Sicherheitsforscher.

Facebook-Sprecher Simon Axton erklärte, bei den genannten Beispielen handele es sich um normales Clickjacking, das sich nicht auf Facebook beschränke. „Wir arbeiten an zusätzlichen Sicherheitsvorkehrungen für diese Art von Angriffen“, so Axton. Zudem rät er zur Vorsicht beim Umgang mit verdächtigen Nachrichten oder Links, die ein Nutzer auf Facebook erhalte.

Nitesh Dhanjani hat zudem auf einen Fehler in Facebook hingewiesen, der Anwendungen von Drittanbietern Zugriff auf Nutzerdaten ermögliche, ohne dass die Mitglieder dem zugestimmt hätten. Facebook habe seine Richtlinien geändert und biete Entwicklern eine spezielle Funktion an, die User nicht mehr davor warne, wenn eine Anwendung auf ihre Daten zugreife. Die Warnungen hätten in der Vergangenheit Mitglieder davon abgehalten, bestimmte Anwendungen in ihr Profil zu integrieren. „Das ermöglicht Facebook eine höhere Verbreitung von Drittanbieter-Software, woraus sich Umsätze ergeben können“, sagte Dhanjani.

Themenseiten: Facebook, Facebook, Networking, Soziale Netze

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher: Facebook ist anfällig für Clickjacking

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *