Sicherheitslücken in Facebook-Apps entdeckt
Installation eines trojanischen Pferds über Online-Anwendungen möglich
Facebook-Apps können zur Verbreitung von Trojanern genutzt werden (Foto: pixelio/A.Delater) |
Palo Alto (pte039/21.09.2009/17:21) Ein Hacker der Security-Firma Grey Hat http://www.greyhat.com hat entdeckt, dass auf Facebook Web-Anwendungen, sogenannte Apps, in Umlauf sind, die gravierende Sicherheitslücken aufweisen. Konkret handelt es sich um Cross-Site-Scripting-Unsicherheiten, die geübten Hackern die Möglichkeit bieten, über die Anwendungen Trojaner zu verbreiten - aber auch andere Formen von Hackerangriffen werden durch die Miniprogramme ermöglicht. Betroffen sind fünf Apps des Blogs "Newscloud" http://blog.newscloud.com , die von einem ehemaligen Microsoft-Mitarbeiter entwickelt wurden. Doch dies könnte nur die Spitze des Eisbergs sein.
Bevor er auf die Facebook-Schwachstellen gestoßen war, hatte der aus Rumänien stammende Hacker, der nur unter dem Pseudonym Unu bekannt ist, bereits Sicherheitsprobleme auf den Webseiten von Banken, Sicherheitsfirmen und sogar dem britischen Parlament aufgedeckt. Seit einiger Zeit lagen nun vor allem soziale Netzwerke, allen voran Branchenprimus Facebook, im Fokus des Hackers. Und tatsächlich gelang es ihm schon nach kurzer Zeit, eine Serie von Schwachstellen in den beliebten Facebook-Apps aufzuspüren. "Die Entwickler dieser Anwendungen haben einen sehr ernsten Fehler gemacht", schreibt der anonyme Hacker in seinem Blog. Sie hätten eine Funktion namens "load_file" in ihren Anwendungen zugelassen, über die es für geschulte Hacker unter anderem auch möglich sei, die Apps zur Verteilung von Trojanern zu verwenden.
"Auf diese Weise kann man Millionen von Computern in sehr kurzer Zeit infizieren", so Unu. Dass die fünf bedenklichen Apps, die er bislang gefunden hat, Einzelfälle sind, ist unwahrscheinlich. "Jedermann kann Apps für Facebook entwickeln, deshalb ist davon auszugehen, dass viele Apps Sicherheitslücken haben könnten. Selbst professionellen Programmierern, deren Arbeit nochmals überprüft wird, passieren Fehler. Bei Hobbyprogrammierern geht das noch schneller", so Toralv Dirro, Sicherheitsexperte bei McAfee http://www.mcafee.com , im Gespräch mit pressetext. Unu werde in Zukunft jedenfalls weitere Nachforschungen in diese Richtung anstellen und weitere Sicherheitslücken veröffentlichen, schreibt er. Alle fünf betroffenen Apps, die bislang entdeckt wurden, stammen von Jeff Reifman, einem ehemaligen Projektingenieur bei Microsoft, der mittlerweile bei Newscloud arbeitet. Der Grey-Hat-Hacker machte jedoch klar, dass er mit seiner Aktion nicht Reifman oder Newscloud angreifen wollte, sondern dass die herausgegriffenen Apps nur zur Illustration eines allgemeinen Sicherheitsproblems bei Facebook-Apps dienen sollte.
Zwar hat Newscloud die betroffenen Anwendungen mittlerweile gesperrt, der Diskussion rund um die Sicherheit in Anwendungen sozialer Netze gibt der Vorfall trotzdem neue Nahrung. Das Problem sind die Facebook-Apps an sich. "Einerseits sind sie ein nützliches Feature, andererseits ein zusätzliches Risiko", sagt Dirro. Social-Networking-Seiten, für die es keine Apps gibt, seien nicht so gefährdet wie Facebook. Zudem seien in der Vergangenheit schon häufiger schädliche Facebook-Apps aufgetaucht. Dass die Betreiber der Site der Malware Herr werden, ist indes eher unwahrscheinlich. "Dazu müsste Facebook alle neuen Apps und Updates überprüfen, das wäre nicht praktikabel. Sinnvoller wäre es, eine Art Facebook-zertifiziert-Siegel einzuführen, und auf diese Art vertrauenswürdige Apps zu kennzeichnen", meint er.
Die Veröffentlichung von Unus Fund kommt jedenfalls zu einem passenden Zeitpunkt. Schon seit Anfang des Monats forciert die Website http://theharmonyguy.com unter dem Titel "Month of Facebook Bugs" die Suche nach Schwachstellen im Social Network. Auch diese Initiative hat das Ziel, auf Sicherheitsbedenken im Zusammenhang mit der Seite hinzuweisen. Dass Unu gerade jetzt auf den Facebook-Zug aufspringt, habe allerdings nichts mit diesem Projekt zu tun, sagt er. Die Überschneidung sei nur ein Zufall. Sicherheitsexperte Dirro rät Facebook-Nutzern indes, generell sparsam mit Apps umzugehen. "Apps greifen auch oft auf das Profil des Facebook-Users zu. Alleine schon aus Datenschutzgründen sollte man darauf achten, nicht jede App auszuführen", sagt er. Zusätzlich sollte bei der Benutzung von Social-Networking-Seiten immer im Hintergrund eine Antivirenlösung aktiv sein - diese erkenne einen Trojaner, der tausendfach über Facebook-Apps verbreitet wird, vermutlich relativ schnell. Zudem rät er den Nutzern des sozialen Netzwerks, sich einige Facebook-Sicherheitstipps durchzulesen.
Facebook-Sicherheitstipps: http://www.allfacebook.com/2009/02/facebook-privacy/
(Ende)Aussender: | pressetext.deutschland |
Ansprechpartner: | Dominik Erlinger |
Tel.: | +43-1-81140-309 |
E-Mail: | erlinger@pressetext.com |