Unbemerkte Webcam-Aufnahmen bei Facebook

Die beiden Sicherheitsforscher Aditya Gupta und Subho Halder wurden auf eine Schwachstelle bei Facebook aufmerksam und informierten die Betreiber des weltgrößten Social Networks vor einigen Monaten darüber. Ein Angreifer hatte auf diesem Wege die Möglichkeit, ein Webcam-Video eines Facebook-Mitglieds unbemerkt anzufertigen und dieses auf seiner Pinnwand zu veröffentlichen. Technisch gesehen liegt dem Sachverhalt ein nicht hinreichender Schutz vor Cross Site Request Forgery (CSRF) bei der Video-Upload-Funktion von Facebook zugrunde.

Mit einer entsprechenden Demo-Seite, welche die Funktionalität der Sicherheitslücke unter Beweis stellen sollte, wollte man den Facebook-Betreibern die Problematik näher bringen. Direkt nach dem Aufruf zeigte sich der angesprochene Video-Uploader von Facebook. Drückt man an dieser Stelle auf den Aufnahme-Knopf, so wird der Videostream aufgezeichnet und auf Facebook veröffentlicht.

Siehe auch: Facebook: Nutzermeinung ist nicht mehr erwünscht

Diesbezüglich gab es einige Voraussetzungen. Den Angaben der Sicherheitsforscher zufolge war es erforderlich, dass die Besucher zu diesem Zeitpunkt bei Facebook angemeldet waren. Zudem mussten sie auf der Demo-Seite manuell auf den Aufnahmeknopf drücken. Mittels Clickjacking könnte sich dies jedoch auch auf unbemerkte Art und Weise umsetzen lassen.

Vor mehr als vier Monaten wurden die Betreiber von Facebook über diese Schwachstelle in ihrem System vertraulich informiert. Öffentlich gaben Aditya Gupta und Subho Halder keine Informationen preis. Facebook hat die Lücke inzwischen geschlossen und die beiden Security-Experten mit 2500 US-Dollar im Rahmen des hauseigenen Prämienprogramms für gefundene Sicherheitslücken belohnt.

WinFuture bei Facebook: Facebook.com/WinFuture Facebook, Logo, Social Network, Social Media Facebook