131694

Facebook bestreitet klaffende Sicherheitslücke

26.08.2008 | 16:04 Uhr |

Die Betreiber von Facebook haben eine ihnen gemeldete Schwachstelle mit dem Argument in Frage gestellt, das könne gar nicht sein. Nach Rückfragen wollen sie die Sicherheitslücke nun aber doch untersuchen.

Der Münchener Schachspieler und Informatiker Artur Wachelka hat eine Sicherheitslücke in Facebook entdeckt, die Angreifern das Ausführen von eigenem Javascript-Code innerhalb der Facebook-Plattform ermöglicht. Nachdem er seine Entdeckung an die Betreiber von Facebook gemeldet hatte, bekam er lediglich die lapidare Antwort, eine solche Schwachstelle könne gar nicht existieren. Die Facebook-Plattform sei so programmiert, dass Javascript ausgefiltert würde.

Wie das britische Online-Magazin The Register berichtet, ist Wachelka auf das Problem gestoßen, weil er ein Schachprogramm als Facebook-Widget realisieren wollte. Für solche Zwecke dient die Facebook-eigene Programmiersprache FBML (Facebook Markup Language). Während die meisten FBML-Tags wie von Facebook angegeben Javascript-Code ausfiltern, scheinen diese Filter bei einigen Tags nicht immer zu greifen.

Mit Hilfe eingeschleuster Javascript-Konstrukte könnte ein Angreifer zum Beispiel Sitzungs-Cookies auslesen, beliebige Popup-Meldungen erzeugen oder das Erscheinungsbild von Facebook-Seiten für den Angegriffenen umgestalten. Artur Wachelka hat innerhalb von Facebook eine Demo-Seite bereit gestellt, die den Inhalt von Cookies anzeigt, eine Popup-Meldung mit dem Text "Oooops" ausgibt und die Farbe des Facebook-Banners verändert.

Zweifellos könnte ein Angreifer mit etwas mehr Aufwand auch Schaden anrichten, etwa private Nachrichten lesen, löschen oder gar im Namen des Benutzers versenden, die Kontaktliste stehlen oder manipulieren sowie den Benutzer auf eine Phishing-Seite entführen, um ihm weitere Daten zu entlocken.

Nachdem Facebook auf die Warnung von Wachelka so ignorant reagiert hat, ist dieser mit seiner Entdeckung an die Öffentlichkeit gegangen. Dieses Mittel scheint auch bei Facebook Wirkung zu zeigen, denn nun will man sich die Sache wohl doch einmal ansehen.

0 Kommentare zu diesem Artikel
131694