Facebook-Phishing mit Clickjacking

Bei Facebook gilt offenbar nicht nur die Privatsphäre der Benutzer nicht mehr viel, auch deren Sicherheit ist, entgegen anders lautender Beteuerungen, nicht so wichtig. Eine frühere obligatorische Sicherheitsabfrage vor dem Hinzufügen einer von Dritten erstellten Facebook-Anwendung ist abgeschafft worden. Das eröffnet eine Möglichkeit unbemerkt Zugriff auf das Benutzerprofil angemeldeter User zu erhalten.

Bis vor Kurzem erschien bei Facebook noch ein Popup-Fenster mit einer Warnmeldung, wenn ein Benutzer eine Facebook-Anwendung hinzu fügen wollte. Diese Warnung hat Facebook nun zumindest teilweise abgeschafft und ermöglicht Anwendungen eine implizite Freigabe. Der Sicherheitsforscher und Buchautor Nitesh Dhanjani weist auf die damit einher gehende Gefahr von Clickjacking-Angriffen hin. Er hat dazu auch eine Demo-Seite ins Netz gestellt.

Auf einer im Grunde beliebigen Website kann ein Angreifer eine transparente Schaltfläche unsichtbar über einem harmlosen Link platzieren. Wer vermeintlich auf den Link klickt, führt tatsächlich eine ganz andere Aktion aus. Das nennt man "Clickjacking", also die Entführung eines Mausklicks. So kann eine solche transparente Schaltfläche etwa das Hinzufügen einer App zum Facebook-Profil eines dort bereits angemeldeten Benutzers auslösen.

Dank der nicht mehr vorhandenen Warnung erlangt eine beliebige Facebook-Anwendung auf diese Weise Zugriff auf das Benutzerprofil des Opfers. Das Problem ist ansonsten allerdings nicht auf Facebook beschränkt. Clickjacking-Angriffe können beliebige Aktionen auslösen - im Grunde alles, was auf einer Website mit einem Mausklick machbar ist.

Die Browser-Hersteller haben noch keine zufrieden stellende Antwort auf das Clickjacking-Problem gefunden. Für Benutzer von Firefox springt immerhin die Erweiterung Noscript in die Bresche. Sie bietet einen "ClearClick" getauften Schutz vor Clickjacking-Angriffen. Microsofts Lösung für den IE 8 bleibt hingegen ohne die Mitwirkung von Website-Betreibern zahnlos.