Facebook schließt schwerwiegende Sicherheitslücke

Sie steckt in der Suchfunktion des Social Network. Ein Angreifer kann iFrames im HTML-Code der Suchergebnisse analysieren. Sie geben unter Umständen Informationen über den Nutzer und sogar dessen Freunde preis.

Facebook hat eine als kritisch zu bezeichnende Schwachstelle beseitigt, die es einem Angreifer ermöglicht hätte, vertrauliche Daten von Facebook-Nutzern auszuspähen. Sie steckte in der Suchfunktion des Social Network, die in einem iFrame-Element Nutzerdaten preisgab. Entdeckt wurde der Fehler von Ron Masas, Sicherheitsforscher bei Imperva.

Sicherheitslücken (Bild: Shutterstock.com/bofotolux).„Ich habe die Online-Suchergebnisse von Facebook durchstöbert, und in ihrem HTML habe ich festgestellt, dass jedes Ergebnis ein iFrame-Element enthält – wahrscheinlich wird es für das interne Tracking von Facebook verwendet“, sagte Masas. Danach habe er erkannt, dass die Suche nach iFrames in der Seite mit den Suchergebnissen zeige, ob eine Suchanfrage ein positives oder negatives Ergebnis habe.

Einfache mit Ja oder Nein zu beantwortende Fragen lieferten Masas anschließend persönliche Informationen über einen Nutzer und auch dessen Freunde. Beispielsweise fragte er, ob einem Nutzer eine bestimmte Seite gefällt, ob er an einem bestimmten Ort Fotos aufgenommen hat, ob er Freunde mit einer bestimmten Religionszugehörigkeit hat, ob er Beiträge mit einem bestimmten Text geteilt hat, ob er Freunde mit einem bestimmten Namen hat oder Freunde, die in bestimmten Städten oder Ländern leben.

Da einige dieser Suchanfragen nicht über die öffentliche Suchfunktion von Facebook zur Verfügung stehen, erstellte Masas eine schädliche Website, auf die ein Angreifer seine Opfer locken könnte. Würde ein Nutzer mit der Seite interagieren, würde sie automatisch im Hintergrund JavaScript ausführen, der in einem neuen Tab die gewünschten Suchanfragen stellt.

Eine Technik namens „Tab Under“ würde es laut Masas einem Angreifer erlauben, das Öffnen der Facebook-Suchseite in einem Hintergrund-Tab zu erzwingen, um die Aufmerksamkeit des Nutzers auf schädliche Website zu konzentrieren – die wiederum eine Online-Spiel, eine Streaming-Portal oder auch ein Nachrichtenartikel sein könne.

Im Gespräch mit ZDNet USA betonte Masas, dass der Angriff mit allen Browsern funktioniert. Auch sei es nicht notwendig, für jede Suchanfrage einen neuen Hintergrund-Tab zu öffnen. Vielmehr sei es ausreichend, den Tab im Hintergrund neu zu laden.

Das Social Network informierte der Forscher bereits im Mai 2018 über die Sicherheitslücke. Sie sei kurz darauf geschlossen worden.

Whitepaper

Die Vorteile der Zentralisierung von PC- und Mac-Management an einem Ort

Mac-Computer werden immer beliebter. IT-Abteilungen stehen vor der Aufgabe, diese Geräte zu verwalten und tun sich damit oft schwer. Welche Vorteile die Zentralisierung von PC- und Mac-Management an einem Ort bietet, erklärt dieses Whitepaper.

Themenseiten: Datenschutz, Facebook, Imperva, Privacy, Security, Sicherheit, Soziale Netze

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Facebook schließt schwerwiegende Sicherheitslücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *