Zusätzliche SMS-Freischaltcodes, Schutz gegen Clickjacking, Cross Site Scripting und Spam-Links
Facebook hat eine Reihe neuer Maßnahmen gesetzt, um die Nutzer besser vor Würmern, Schadcodes und Spam zu schützen. So hat man unter anderem eine Partnerschaft mit Web of Trust gestartet, um vor potentiell gefährlichen Seiten zu warnen, und bietet Nutzern zusätzliche SMS-Codes bei Login-Versuchen von unbekannten Geräten an. Die neuen Vorkehrungen werden auf der Facebook-Security-Seite näher erläutert.
Zusätzlicher SMS-Feischaltcode
Als neueste Schutzmaßnahme können Facebook-User nun auf Wunsch eine Faktor-2-Authentifizierung für ihr Konto wählen. Das hatte Facebook bereits im Oktober angekündigt. In dem Fall müssen Nutzer einen zusätzlichen Code eingeben, wenn sie sich von einem Gerät auf Facebook einloggen, das noch nicht mit dem Konto verknüpft ist. Der Freischaltcode wird per SMS zugestellt. Schon seit einiger Zeit ist es möglich, dass User eine Warnmeldung per E-Mail erhalten, wenn ein Login-Versuch von einem unbekannten Gerät erfolgt. Voraussetzung ist natürlich, dass eine Mobiltelefonnummer angegeben wurde.
Laut heise könnte der Schutz allerdings gegen das Ausnutzen von Access-Tokens oder OAuth-Zugangs-Credentials, die Facebook-Apps für den Zugriff auf das Konto benötigen, wirkunglos sein. Genaueres ist allerdings nicht bekannt. Im Zusammenhang damit wurde erst vor kurzem ein gefährliches Sicherheitsleck bekannt und gestopft, das App-Entwicklern versehentlich Zugriff auf die User-Konten gab.
Links werden gescannt
Beim bereits erwähnten Web of Trust handelt es sich um ein Add-On für alle gängigen Browser, das User vor dem Ansurfen potentiell gefährlicher Websites warnt. Facebook verfügt bereits über ein System, das Links automatisch scannt, um Malware oder Spam zu entdecken. Mithilfe von Web of Trust soll dieses System nun verbessert werden. Das soziale Netzwerk will zudem mit weiteren Anbietern in diesem Bereich zusammenarbeiten.
Clickjacking
Ein weiteres, massives Sicherheitsproblem stellt sogenannten Clickjacking oder Likejacking dar. In dem Fall versuchen Kriminelle und Spammer Nutzer dazu zu bringen, auf einen Link zu einer manipulierten Seite zu klicken, indem sie ihn etwa als Gewinnspiel tarnen oder interessante Inhalte versprechen. Facebook verfügt bereits auch dafür über ein System, das das Clickjacking des Like-Buttons entdecken und Links zu suspekten Seiten blockieren soll. So werden User bei verdächtigen Links gefragt, ob sie diese wirklich posten wollen. Nach Unternehmensangeben wurde das weiter verbessert.
Schutz vor Cross Site Scripting
Immer wieder geistern auch Meldungen durch Facebook, die Nutzern bestimme Inhalte versprechen, wenn sie JavaScript-Code selbst in die Adresszeile einfügen. Statt des versprochenen Videos oder Fotos, werden allerdings im Namen des Nutzers Status-Updates zu potentiell gefährlichen Seiten veröffentlicht oder Spam-Meldungen an alle Freunde versendet. Facebook hat seine Systeme dahingehend verbessert, dass Nutzer nun gefragt werden, ob sie die Aktion wirklich ausführen wollen und gleichzeitig auf das Risiko hingewiesen. Das Unternehmen arbeite zudem mit allen Browser-Herstellern zusammen, um das darunterliegende Problem zu beheben.
Kritik
Die Sicherheitsexperten von Sophos haben sich die neuen Maßnahmen von Facebook bereits angesehen und kritisieren, dass die Vorkehrungen teilweise nicht weit genug gehen. So würden etwa Community-gewartete Blockierlisten wie bei Web of Trust nicht ausreichen. Seiten, die gehackt und später wiederhergestellt wurden, würden oft weiterhin auf den Sperrlisten geführt. Generell seien die neuen Sicherheitsvorkehrungen aber ein wichtiger Schritt nach vorne. (Birgit Riegler/derStandard.at, 14. Mai 2011)
