Nachrichten-Mitlesen: Facebook Messenger hatte lange schwere Lücke
Cynet (via Golem) ermöglicht, die Kommunikation von rund einer Milliarde Messenger-Nutzern abzugreifen. Die Experten bezeichnen diese als schwerwiegend, sie wurde aber bereits an Facebook übermittelt und auch geschlossen.
Der Hack, den Cynet "Originull" getauft hat, erlaubte es, alle privaten Chats, Fotos und Anhänge, die per Facebook Messenger versendet worden sind, einzusehen. Über den Cross-Origin-Bypass konnte der vermeintliche Hacker eine externe manipulierte Webseite einsetzen, um an diese Informationen zu gelangen.
Üblicherweise schützt der Browser die Nutzer und erlaubt nur Facebook auf diese Daten zuzugreifen. Facebook öffnet dabei eine "Brücke", um "Unterseiten" von Facebook.com den Zugriff zu ermöglichen. Im vorliegenden Szenario kam es aber zu einem Fehler bei der Identifikation des eigentlich vorgesehenen Zugriffs.
Ysrael Gurt, der Entdecker der Lücke, hat dazu ein Video erstellt, das zeigt, wie ein derartiger Angriff funktioniert hätte, dieses ist auf der Webseite von Cynet zu finden. Die Tragweite der Lücke war auch deshalb so groß, weil nicht nur besonders viele Nutzer betroffen waren, sondern auch weil ein Wechsel von einem PC auf die Smartphone-App des Messengers nicht geholfen hätte und auch diese Chats einsehbar gewesen wären.
Sicher wären übrigens nur Nutzer gewesen, die die im Sommer gestarteten "Secret Conversations" einsetzen, da diese Ende-zu-Ende-Verschlüsselung aufweisen.
Siehe auch: Facebook Messenger bekommt Ende-zu-Ende-Verschlüsselung
Download Facebook-Messenger für Windows-PCs
Eine so genannte Cross-Origin-Bypass-Attacke hätte es potenziellen Angreifern nach Angaben der Sicherheitsforscher von Der Hack, den Cynet "Originull" getauft hat, erlaubte es, alle privaten Chats, Fotos und Anhänge, die per Facebook Messenger versendet worden sind, einzusehen. Über den Cross-Origin-Bypass konnte der vermeintliche Hacker eine externe manipulierte Webseite einsetzen, um an diese Informationen zu gelangen.
Üblicherweise schützt der Browser die Nutzer und erlaubt nur Facebook auf diese Daten zuzugreifen. Facebook öffnet dabei eine "Brücke", um "Unterseiten" von Facebook.com den Zugriff zu ermöglichen. Im vorliegenden Szenario kam es aber zu einem Fehler bei der Identifikation des eigentlich vorgesehenen Zugriffs.
Ysrael Gurt, der Entdecker der Lücke, hat dazu ein Video erstellt, das zeigt, wie ein derartiger Angriff funktioniert hätte, dieses ist auf der Webseite von Cynet zu finden. Die Tragweite der Lücke war auch deshalb so groß, weil nicht nur besonders viele Nutzer betroffen waren, sondern auch weil ein Wechsel von einem PC auf die Smartphone-App des Messengers nicht geholfen hätte und auch diese Chats einsehbar gewesen wären.
Sicher wären übrigens nur Nutzer gewesen, die die im Sommer gestarteten "Secret Conversations" einsetzen, da diese Ende-zu-Ende-Verschlüsselung aufweisen.
Siehe auch: Facebook Messenger bekommt Ende-zu-Ende-Verschlüsselung
Download Facebook-Messenger für Windows-PCs
Thema:
Metras Aktienkurs in Euro
Neue Facebook-Bilder
Videos zum Thema Facebook
- Mehr als eine Kamerabrille? Die Ray-Ban-Meta-Smart Glasses im Test
- Vor Apple noch in Position bringen: Meta macht Wind um neues Headset
- Super Bowl 2022: Meta schickt Animatronics ins Metaverse
- Super Bowl 2020: Das waren die besten Werbespots beim Sport-Event
- Super Bowl 2020: Facebook wirbt für sein Gruppen-Feature
The Social Network im Preis-Check
Beiträge aus dem Forum
-
Facebook, Instagram, TikTok, X (EX-Twitter), Mastodon und Co:
el_pelajo -
Facebook-Konzern Meta geht mit einem Twitter-Konkurrenten an den Start
Ler-Khun -
Facebook Werbung
Ler-Khun -
Facebook sperrt meinen Account und verlangt zum Entsperren Foto
Doodle -
Abfrage der Datenschutzeinstellungen bei jedem Neustart.
DK2000 -
Keine Anzeige meiner Beiträge in Facebook
IsabellaKrystynek -
deutscher Warcraft 3 Discord / deutsche Warcraft 3 Community Facebook
thielemann03
Neue Downloads
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- iOS 17.4-Update bringt neue Ladegeschwindigkeit für iPhone 12-Familie
- Microsoft kündigt neue OneDrive-Funktionen für Microsoft 365 Basic an
- "Was ist neu": Microsoft Store-Update zeigt nun Changelog mit an
- New York erlaubt selbstfahrende Autos - solange sie nicht selbst fahren
- E-Mail-Betrugswarnung: Kunden dreier deutscher Banken betroffen
- Ukraine nutzt Mikrofon-Netzwerk, um Kamikaze-Drohnen aufzuspüren
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen