Facebook Messenger: Fehler gefährdet Chats von Nutzern


Gefunden wurde eine Schwachstelle in Facebooks Nachrichtensystem, die die Privatsphäre von fast einer Milliarde Menschen bedroht.

Ysrael Gurt, Sicherheitsexperte bei BugSec und Cynet, entdeckte eine kritische Schwachstelle im Facebook Messenger, die es einem Angreifer ermöglicht, die privaten Unterhaltungen von Nutzern zu lesen, einschließlich gesendeter Fotos und Anhänge.

Dieser als "Originull" bezeichnete Fehler nutzt die Tatsache aus, dass Facebook-Chats nicht direkt auf den Servern des sozialen Netzwerks verwaltet werden, sondern auf einem separaten System namens [number]-edge-chat.facebook.com - sowohl für die Web- als auch für die mobile Version: Das Risiko war vollständig. Um diese Schwachstelle auszunutzen, musste das Opfer nur über einen per E-Mail erhaltenen Link oder eine Einladung auf einer Phishing-Website auf eine bösartige Website umgeleitet werden, um es mit einer speziell entwickelten Malware zu infizieren. Die Schwachstelle wurde glücklicherweise umgehend von Facebook behoben.

Facebook hat den Fehler erkannt und behoben

Ein herkunftsübergreifender Umgehungsangriff wurde dann auf die Messaging-Anwendung von Facebook durchgeführt, und der Cyberkriminelle konnte Nachrichten, Fotos und Anhänge, die von den mit der Malware infizierten Opfern über den Messenger gesendet wurden, einsehen und darauf zugreifen. Für diejenigen, die sich für etwas mehr technische Details interessieren, erklärt Ysrael Gurt selbst. Die Kommunikation zwischen dem JavaScript und dem Server erfolgt über eine HTTP-XML-Anfrage (XHR). Damit Facebook in JavaScript auf die vom Chatserver kommenden Daten zugreifen kann, muss es den so genannten Access-Control-Allow-Credentials-Header mit der Herkunft des Aufrufers und dem Wert "true" hinzufügen, damit die Informationen auch dann zugänglich sind, wenn bereits Cookies gesendet wurden. Ysrael Gurt entdeckte diese schwerwiegende Facebook-Schwachstelle durch ein von ihm selbst entwickeltes Programm, und das Sicherheitsteam von Facebook, das die Schwere dieser Sicherheitslücke schnell erkannte, behob sie umgehend.

Das Video oben stammt von YouTube

Einige der Videos in diesem Abschnitt wurden aus dem Internet entnommen und gelten daher als öffentlich zugänglich. Wenn die Personen, die in diesen Videos zu sehen sind, oder die Autoren Einwände gegen die Veröffentlichung haben, können Sie einfach die Entfernung der Videos per E-Mail an [email protected] beantragen. Wir werden das Video so bald wie möglich löschen.

.


Schreibe einen Kommentar