Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Sicherheitslücke im Facebook-Messenger ermöglichte Zugriff auf private Nachrichten

    Sicherheitslücke im Facebook-Messenger ermöglichte Zugriff auf private Nachrichten
Facebook Messenger (Foto: Shutterstock-Jakraphong Photography)

Milliarden von Nachrichten im Facebook-Messenger waren offenbar über eine kritische Sicherheitslücke angreifbar.

Sicherheitslücke im Facebook-Messenger: „Das war ein extrem ernsthaftes Problem.“

Hacker haben über eine Sicherheitslücke private Nachrichten im Facebook Messenger abgefangen. (Screenshot: Cynet)
Hacker haben über eine Sicherheitslücke private Nachrichten im Facebook-Messenger abgefangen. (Screenshot: Cynet)

Über einen sogenannten Cross-Origin-Bypass-Angriff konnten Mitarbeiter der Security-Firma Cynet sich einen Zugriff auf die Nachrichteninhalte der Facebook-Nutzer verschaffen. Facebook habe den „Access-Control-Allow-Origin“-Header in Javascript falsch interpretiert, heißt es auf der Unternehmensseite. Da die Chat-Daten nicht von der Facebook-Webseite stammen, sondern von variablen Adressen nach dem Prinzip „{number}-edge-chat.facebook.com“, konnte der Angriff über eine präparierte Webseite durchgeführt werden.

„Das war ein extrem ernsthaftes Problem, weil eine hohe Anzahl von Nutzern betroffen war.“

Der Access-Control-Allow-Origin-Header erlaubt den Datenaustausch zwischen den verschiedenen Domains. Empfängt der Facebook-Server jedoch Anfragen von einem nicht autorisierten Server – zum Beispiel einer bösartigen Webseite in einem anderen Tab – werden diese normalerweise abgelehnt. Der Angriff war jedoch möglich, weil Facebook zudem normale GET-Requests an die Chat-Domains erlaubte, die jedoch keinen Origin-Header hatten. Stattdessen wurde das Header-Feld in dem Angriff durch einen Nullwert ersetzt, den wiederum die Facebook-Server nicht blockierten, sondern durchließen.

„Das war ein extrem ernsthaftes Problem, nicht nur, weil eine so hohe Anzahl von Nutzern betroffen war, sondern auch, weil sie vollständig angreifbar blieben – selbst wenn sie den PC wechselten oder ihre Chats von einem Smartphone aus führten“, zitiert The Hacker News einen der beteiligten Mitarbeiter. Lediglich die erst kürzlich von Facebook eingeführten Ende-zu-Ende-verschlüsselten „Secret Conversations“ seien von der Schwachstelle nicht betroffen gewesen.

Cynet informierte Facebook über die Lücke im Rahmen des Bug-Bounty-Programms. Das Unternehmen habe die Schwachstelle anerkannt und innerhalb weniger Tage behoben, erklärt Facebook. Ob die Sicherheitslücke im Vorfeld aktiv ausgenutzt worden ist, ist bislang nicht bekannt.

Auch dieser Artikel könnte dich interessieren: Ein Bug-Jäger hat über den Facebook-Crawler im Messenger geteilte Links gesammelt. Laut Facebook handelt es sich dabei allerdings um keine Sicherheitslücke, sondern eine beabsichtige Funktion. Was dahinter steckt, erklären wir hier: Bug oder Feature? Private Links im Facebook Messenger durch API auffindbar.

via www.golem.de

Finde einen Job, den du liebst

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden