News 20.01.2010, 09:27 Uhr

Facebook: leichter Zugriff auf Profile

Ein Sicherheitsforscher zeigt, wie Hacker unbemerkt auf User-Profile angemeldeter Facebook-Nutzer zugreifen können.
Bis vor kurzem erschien bei Facebook ein Pop-up-Fenster mit einer Warnung, wenn ein User eine Anwendung zu seinem Benutzerkonto hinzufügen wollte. Diese Meldung hat das Social Network nun zumindest teilweise abgeschafft und ermöglicht so Dritt-Anwendungen eine implizite Freigabe. Der Sicherheitsforscher und Buchautor Nitesh Dhanjani weist auf die damit zusammenhängende Gefahr von Clickjacking-Angriffen hin. Er hat dazu auch eine Demo-Seite ins Netz gestellt.
Auf einer im Grunde beliebigen Website kann ein Angreifer eine transparente Schaltfläche unsichtbar über einem harmlosen Link platzieren. Wer auf den Link klickt, führt in diesem Fall aber eine ganz andere Aktion aus. So kann eine solche transparente Schaltfläche etwa das Hinzufügen einer App zum Facebook-Profil eines dort bereits angemeldeten Benutzers auslösen. Dank der nicht mehr vorhandenen Warnung erlangt eine beliebige Facebook-Anwendung auf diese Weise Zugriff auf das Benutzerprofil des Opfers.
Problem nicht nur auf Facebook beschränkt.
Wie McAfee-Sicherheitsexperte Toralv Dirro erklärt, lässt sich das Problem mit dieser Angriffsmethode nur im Browser beheben. Social-Networking-Sites seien besonders anfällig, da der User hier durch einen Link eine Site öffnen könne und der Angreifer ziemlich sicher das Layout der Originalseite kenne. «Er weiss also, wie er die überlagernde Seite gestalten muss, damit der Nutzer unbewusst Aktionen ausführt», so Dirro. Clickjacking-Angriffe können beliebige Aktionen auslösen - im Grunde alles, was auf einer Website mit einem Mausklick machbar ist. Die Browser-Hersteller haben noch keine zufriedenstellende Antwort auf das dieses Problem gefunden. Für Benutzer von Firefox springt immerhin die Erweiterung Noscript in die Bresche. Sie bietet einen «ClearClick» getauften Schutz vor Clickjacking-Angriffen


Kommentare

Es sind keine Kommentare vorhanden.