Nachrichten-Mitlesen: Facebook Messenger hatte lange schwere Lücke

Der Messenger, die Chat-Funktion von Facebook, ist ein zentraler Bestandteil des sozialen Netzwerks und wird von entsprechen vielen Menschen genutzt. Wie nun bekannt wurde, hatte dieser aber wohl länger eine kritische Sicherheitslücke, Facebook dürfte aber mit einem blauen Auge davongekommen sein, denn aktiv wurde sie offenbar nicht ausgenutzt.
App, Facebook, Messenger, Desktop, Facebook Messenger, Kurznachrichten, Messenger for Desktop
Facebook
Eine so genannte Cross-Origin-Bypass-Attacke hätte es potenziellen Angreifern nach Angaben der Sicherheitsforscher von Cynet (via Golem) ermöglicht, die Kommunikation von rund einer Milliarde Messenger-Nutzern abzugreifen. Die Experten bezeichnen diese als schwerwiegend, sie wurde aber bereits an Facebook übermittelt und auch geschlossen.

Der Hack, den Cynet "Originull" getauft hat, erlaubte es, alle privaten Chats, Fotos und Anhänge, die per Facebook Messenger versendet worden sind, einzusehen. Über den Cross-Origin-Bypass konnte der vermeintliche Hacker eine externe manipulierte Webseite einsetzen, um an diese Informationen zu gelangen.

Üblicherweise schützt der Browser die Nutzer und erlaubt nur Facebook auf diese Daten zuzugreifen. Facebook öffnet dabei eine "Brücke", um "Unterseiten" von Facebook.com den Zugriff zu ermöglichen. Im vorliegenden Szenario kam es aber zu einem Fehler bei der Identifikation des eigentlich vorgesehenen Zugriffs.

Ysrael Gurt, der Entdecker der Lücke, hat dazu ein Video erstellt, das zeigt, wie ein derartiger Angriff funktioniert hätte, dieses ist auf der Webseite von Cynet zu finden. Die Tragweite der Lücke war auch deshalb so groß, weil nicht nur besonders viele Nutzer betroffen waren, sondern auch weil ein Wechsel von einem PC auf die Smartphone-App des Messengers nicht geholfen hätte und auch diese Chats einsehbar gewesen wären.

Sicher wären übrigens nur Nutzer gewesen, die die im Sommer gestarteten "Secret Conversations" einsetzen, da diese Ende-zu-Ende-Verschlüsselung aufweisen.

Siehe auch: Facebook Messenger bekommt Ende-zu-Ende-Verschlüsselung

Download Facebook-Messenger für Windows-PCs
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Metras Aktienkurs in Euro
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!