Facebook: Sicherheitslücke erlaubt Übernahme von Daten

commander@giga

Die Facebook-Funktion der “umgehenden Personalisierung” sorgt weiterhin für Ärger: Durch die Ausnutzung einer Sicherheitslücke können Angreifer Zugriff und Kontrolle über sämtliche Daten erlangen. Die Lücke wurde vorerst gestopft, das grundsätzliche Problem bleibt.

Facebooks "Instant Personalization" ist hoch umstritten. Mit diesem Feature können als vertrauenswürdig eingestufte Seiten auf die Kontodaten eines Facebook-Nutzers zugreifen, um so ein Profil zu erstellen. Dies soll dem Nutzer vor allem Arbeit abnehmen, da er seine Daten nicht ein weiteres mal eintragen muss und einen einzelnen Account überall nutzen kann. Dieses Projekt ist noch in der Pilotphase und nur sehr wenige Seiten nehmen daran teil. Eine davon ist das Verbraucher-Portal yelp.com, auf dem die Besucher Reviews zu allem Möglichen verfassen können. Wie techcrunch nun berichtet, hat sich der Web Sicherheitsberater George Deglin eine Sicherheitslücke auf eben dieser Seite zu Nutze gemacht, um einen schädlichen Code dort zu installieren. Dadurch war es ihm möglich, auf yelp.com eingerichtete Cookies abzufangen und auf seine extra dafür eingerichtete Seite umzuleiten und API-Anfragen an Facebook zu richten, durch die in letzter Konsequenz die Daten wie Name, Alter, Freunde etc. geerntet werden konnten.

Besonders pikant: Nebenbei kam heraus, dass yelp.com bei dieser "umgehenden Personalisierung", wie das Feature auf deutsch heisst, auch Zugriff auf die E-Mail-Adresse erlangt, obwohl jede andere Seite, die sich mit Facebook verbinden will, explizit danach fragen muss. Hier wird ein grundsätzliches Problem offenbar: die Kriterien, nach denen die Seiten, die am Programm teilnehmen dürfen, ausgewählt werden, sind nicht sonderlich transparent. Unklar ist auch, welche Seite über welche Daten verfügt. In diesem Fall wurde die Sicherheitslücke binnen einer Stunde geschlossen. Allerdings lag die Sicherheitslücke bei yelp.com, nicht bei Facebook. Sollten in Zukunft weitere Seiten dieselben Rechte kriegen, oder dieser Prozess gar automatisiert werden, geht es um eine unüberschaubare Anzahl von potentiellen Sicherheitslücken.

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz