Neue Schwachstelle bei Facebook entdeckt: Telefonnummern von Facebook-Nutzern ließen sich bis vor kurzem unfassbar leicht „erbeuten“, ohne dass die Betroffenen davon etwas bemerkten. Dadurch war es jedermann ohne Programmierkenntnisse möglich, Telefonnummern zum Beispiel von Prominenten herauszufinden. Diese Sicherheitslücke entdeckten Forscher der Technischen Hochschule Köln und meldeten sie an Facebook – nun wird der Fehler erstmals öffentlich bekannt. Ursache war ein Sicherheitsverfahren, das eigentlich vor unbefugten Logins bei Facebook schützen soll. Wie ging das und was bedeutet das überhaupt? Wir sprachen mit einem der Entdecker des Programmierfehlers.
Telefonnummern von Facebook-Nutzern: Ein einziger Klick gab sie frei
Mit dem im Folgenden beschriebenen Vorgang konnten Kriminelle zu E-Mail-Adressen von Facebook-Accounts die passenden Telefonnummern ermitteln. Ziel dieser Ausspähung konnte jeder sein, der Facebook nutzt. Manche Handynummern sind hierbei besonders „interessant“, etwa weil sie Promis gehören. Technisches Wissen war für den Hack nicht erforderlich, es genügte das Wissen über die Lücke. Forscher der TH Köln und Ruhr-Universität Bochum machen die Schwachstelle nun erstmals öffentlich, zuvor war sie außer den Wissenschaftlern und dem Unternehmen Facebook niemandem bekannt.
Technische Grundlage der Schwachstelle: Wenn sich jemand bei Facebook (oder vergleichbaren Diensten) einloggen möchte, gibt er Benutzername und Passwort an – es werden aber stets auch weitere Informationen übertragen, wie etwa der Geräte-Standort, die IP-Adresse oder der verwendete Browser. Diese Infos können zur Einschätzung der Rechtmäßigkeit des Logins verwendet werden: Wenn ich mich normalerweise regelmäßig von Deutschland und nur von bestimmten Geräten (z.B. meinem Handy) aus einlogge, dann ist es höchst verdächtig, wenn plötzlich ein Login-Versuch aus China mit einem ganz anderen Gerät stattfindet.
In so einem Fall greift ein Verfahren namens „Risikobasierte Authentifizierung“: Der Server erkennt eine Unregelmäßigkeit und verlangt vom Nutzer weitere Angaben, denn es besteht der Verdacht eines unbefugten Zugriffs. Bei Facebook wird dann etwa ein Sicherheitscode abgefragt, der per SMS an mein Handy geschickt wird. Das Smartphone des rechtmäßigen Account-Besitzers dürfte dem Hacker im Ausland höchstwahrscheinlich nicht vorliegen, so dass er dann an der Stelle nicht mehr weiterkommt. Eigentlich ist dieses Verfahren also eine gute Sache, denn sie erschwert Hackern das Leben. Im Prinzip ist das eine „Zweistufige Authentifizierung“, die dann greift, wenn das Risiko eines Hacks als hoch eingestuft wird.
Bei Facebook gab es hier aber eine haarsträubende Lücke. Innerhalb des Dialogs „Bitte bestätige deine Identität“ wird man gefragt, welchen Sicherheitscheck man nutzen möchte. Zur Auswahl stehen etwa die Bestätigung der Anmeldung auf einem anderen Computer, das Bestätigen von Freunden auf Fotos oder eben der Versand einer SMS ans eigene Handy. Das Feld für die Handynummer ist dabei logischerweise leer und muss erst vom Nutzer ausgefüllt werden – Facebook kann dann prüfen, ob die angegebene Nummer mit der beim Profil hinterlegten Nummer übereinstimmt. Wie im kurzen Video aber zu sehen ist, reichte ein Klick auf den Zurück-Button, damit das Feld mit der richtigen Handynummer bestückt war:
Ein Login bei Facebook war Hackern damit zwar nicht möglich, aber sie konnten so fast ohne Aufwand die passenden Telefonnummern zu E-Mail-Adressen von Facebook-Nutzern ermitteln. Einfach auf „Zurück“ klicken und schon wurde die Handynummer eingeblendet. Anders gesagt: Facebook füllte automatisch ein Feld mit personenbezogenen Daten aus, die eigentlich geheim bleiben sollten.
Deutsche Forscher entdeckten die Facebook-Sicherheitslücke
Das Verfahren an sich wird auch von Amazon, LinkedIn und Google verwendet – bei Facebook wurde es aber offenbar fehlerhaft umgesetzt. Entdeckt wurde die Schwachstelle von Forschern der Technischen Hochschule Köln und Ruhr-Universität Bochum. Sie wurde am 04.09.2018 bei Facebook eingereicht und am 06.09.2018 geschlossen.
Wir haben mit Stephan Wiefling gesprochen, er ist Doktorand und wissenschaftlicher Mitarbeiter (Data & Application Security Group, Fakultät für Informations-, Medien- und Elektrotechnik, TH Köln) und einer der Verfasser der umfassenden empirischen Studie zum Thema „Risikobasierte Authentifizierung“, in welcher die Schwachstelle beschrieben wird.
GIGA: Wenn ein Hacker meine Handynummer erbeutet hat, was kann er dann damit überhaupt anstellen?
Stephan Wiefling: „Dann könnte er dich durchgehend auf dem Handy anrufen oder dir Spam auf WhatsApp schicken. Er könnte vielleicht sogar auf WhatsApp sehen, wann du eingeloggt bist. Besonders bei Prominenten könnte das problematisch sein, denn die wollen natürlich nicht, dass sie dauernd angerufen werden.“
GIGA: Was kann ich tun, wenn Hacker meine Handynummer erbeutet haben?
Stephan Wiefling: „Sofern du deine Handynummer bei Facebook angegeben hast: Leider nichts mehr. Ob Hacker allerdings diese Lücke wirklich ausgenutzt haben, kann nur Facebook sagen. Ansonsten kannst du natürlich aufpassen, auf welchen Webseiten du deine Handynummer angibst. Hacker nutzen für solche Angriffe meistens geklaute E-Mail-Adressen und Passwörter aus dem Netz. Du kannst z.B. auf https://haveibeenpwned.com/ nachschauen, ob deine Login-Daten schon einmal geklaut wurden. Wenn das der Fall ist: Passwort ändern.“
Webseite der Studie „Risikobasierte Authentifizierung“ (TH Köln) mit ausführlicher Erklärung der technischen Hintergründe
Hier sind die wichtigsten Tipps, um den eigenen Facebook-Account und die Daten besser zu schützen:
auf YouTube
Hat dir der Beitrag gefallen? Folge uns auf WhatsApp und Google News und verpasse keine Neuigkeit rund um Technik, Games und Entertainment.
