Facebook: Webcam-Spionage per Sicherheitslücke

  • Mit einem Proof-of-Concept
    screenshot: derstandard.at

    Mit einem Proof-of-Concept

Soziales Netzwerk beseitigt kritisches Problem - AngreiferInnen konnten theoretisch Videos aufzeichnen und in Timeline veröffentlichen

Nachdem erst vor wenigen Tagen ein Privacy-Problem in Facebooks "Midnight Delivery"-System ruchbar geworden war, gibt es nun den nächsten Bericht über eine kritische Lücke im sozialen Netzwerk. In diesem Fall scheint diese aber zumindest entfernt worden zu sein, bevor sie tatsächlich aktiv ausgenutzt wurde.

Lücke

Wie die Sicherheitsexperten Aditya Gupta und Subho Halder aufgespürt haben, war es nämlich möglich ein Video über die Webcam der NutzerInnen aufzuzeichnen und anschließend in deren Timeline auf Facebook zu posten. Die Schwachstelle war in der Video-Upload-Funktion zu finden, die sich für eine sogenannte "Cross Site Request Forgery"-Attacke anfällige zeigte.

In einem Video demonstrieren die Sicherheitsforscher, wie so ein Angriff dann aussehen hätte können: In eine beliebige Webseite wurde der Video-Uploader integriert und die Aufnahme gestartet. Ist der betreffende User zu dem Zeitpunkt im Browser auf Facebook eingeloggt, lässt sich dann das Video ganz ohne deren Zutun posten. In dem betreffenden Video ist noch zu sehen, wie einer der Forscher manuell den Aufnahmeknopf bedient, hier könnten aber die NutzerInnen auch per Tricks wie Clickjacking dazu verleitet werden, die Aufnahme ohne ihr Wissen zu starten.

Information

Gegenüber Softpedia betonen die Entdecker der Lücke, dass man Facebook vorab informiert habe, um die NutzerInnen nicht unnötig zu gefährden. Dabei übt man allerdings auch leise Kritik an dem sozialen Netzwerk. Ursprünglich hatte man das Problem dort nämlich offenbar nicht sonderlich ernst genommen, und die Schwachstelle als "wenig gefährlich" eingestuft. Erst nachdem ein "Proof of Concept" präsentiert wurde, stufte man die Gefahrenstufe auf "kritisch" hoch. Von der ersten Meldung bis zur Beseitigung des Problems seien dabei rund vier Monate vergangen.

Preisgeld

Dafür gibt es jetzt eine finanzielle Belohnung für die beiden Forscher: Im Rahmen des Bug-Bounty-Programms von Facebook, hat das Unternehmen den Entdeckern des Problems 2.500 US-Dollar zukommen lassen. (red, derStandard.at, 04.01.13)

Share if you care
8 Postings
Immer hinten nach

Wieso höre ich von den Sicherheitslücken immer erst, wenn sie bereits geschlossen sind? ;-)

Warten sie nur ein wenig ab dann erfahren sie irgend wann welche Sicherheitslücken sie in dem Moment ausgesetzt sind.
Darum mache ich einen weiten Bogen um solche Netzwerke ;)

Unglaubliche Frickelbude.

"2.500 US-Dollar zukommen lassen"

Da kriegt man in jedem "halbdubiosen" Forum mehr dafür. Ziemlich dürftig von Facebook. Offensichtlich möchte man gar nicht, dass etwas gemeldet wird.

facestalk

ein Ableger von Facebook

Deshalb habe ich meine Webcam mit Isolierband zugeklebt!

Jaja wie würde fefe sagen?

"Die Besten der Besten"

2500 US-Dollar ist ziemlich wenig

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.