Facebook Messenger: Jeder konnte Nachrichten auf Server ändern

Facebook, Sicherheitslücke, Messenger, Bug, Instant Messenger, Check Point Facebook, Sicherheitslücke, Messenger, Bug, Instant Messenger, Check Point
Sicherheitsforscher von Check Point haben ein Problem in der Architektur des Facebook Messengers entdeckt, das ohne besondere technische Fähigkeiten ausgenutzt werden kann. Ziemlich simpel kann ein Angreifer hier die Inhalte einer vorhandenen Nachricht manipulieren.

Benötigt wird dafür lediglich die ID-Nummer der jeweiligen Mitteilung. Mit ihrer Hilfe können dann die Inhalte der Nachricht verändert werden. Schickte ein Angreifer den richtigen Request mit der ID und dem neuen Inhalt an die Server Facebooks, wurde der dort gespeicherte Text der Mitteilung ohne weitere Nachfrage überschrieben.

Sicherheitslücke im Facebook MessengerSicherheitslücke im Facebook MessengerSicherheitslücke im Facebook MessengerSicherheitslücke im Facebook Messenger

Unklar ist derzeit, ob die Schwachstelle bereits real ausgenutzt worden ist. Da allerdings kein Fall bekannt wurde, dürfte sich das Wissen über das Problem dann doch in Grenzen gehalten haben. Einzelfälle sind jedoch nicht ausgeschlossen. Bei Facebook hat man nach Angaben Check Points sehr schnell auf die Meldung der Lücke reagiert und den Fehler aus der Welt geschafft.

Vielfältige Missbrauchs-Möglichkeiten

Auch mit Kenntnis der Vorgehensweise dürfte es schwer gewesen sein, gezielt eine bestimmte Nachricht zu manipulieren, die zwischen zwei anderen Nutzern ausgetauscht wurde. Leicht wurde das aber, wenn man Zugang zu einem Rechner hatte, der in Facebook eingeloggt war und bei dem somit Zugriff auf die Mitteilungen bestand. Dann reichten die Entwickler-Tools, die die Browser an Bord haben aus, um die ID auszulesen. Das hätte es ermöglicht, Gesprächsverläufe im Nachhinein zu verändern. Damit wäre es beispielsweise denkbar gewesen, möglicherweise belastende Absprachen aus einem Chat-Verlauf zu tilgen, bevor dieser von Behörden als Beweismittel gesichert wird. Auch entlastende Inhalte hätte man rechtzeitig einbauen können.

Eine andere Möglichkeit des Missbrauchs, die eher aufgefallen wäre, ist die Verbreitung von Malware. Angreifer hätten beispielsweise schlicht IDs in großer Zahl durchprobieren und so automatisiert Links auf Schadcodes in viele tausende Nachrichten einbauen können.

Download
Facebook-Messenger für Windows-PCs
Dieses Video empfehlen
Kommentieren3
Jetzt einen Kommentar schreiben
 
Fände es bei ganz naiver Betrachtung sogar gut, meinen eigenen Chatverlauf anpassen zu können. Wohlgemerkt - meinen eigenen!
 
Wenn er dort den Session-cookie-string von "Roman Roman" hinterlegt hat, ist dies kein Hexenwerk.

Der Einzige Bug bestünde dann darin, dass Facebook die vorhandene Nachricht ersetzt.

Dies beweist noch lange nicht, dass dies auch mit Accounts "3ter" funktioniert.
 
Und dann kommt wieder der Hinweis von Check Point, man solle sich doch deren Firewall installieren um sich davor zu schützen? :P
Kommentar abgeben Netiquette beachten!