Pressemitteilung von Marcus Ehrenwirth

Facebook: Neue Sicherheitslücke durch JavaScript?

---

---

Hallbergmoos, 14. Februar 2011. Ende vergangener Woche hat Facebook einige wichtige Änderungen an der Art und Weise vorgenommen, wie in "Facebook Pages" die Fanseiten von Markenunternehmen, Musikgruppen etc. erstellt werden können. Doch was für ehrbare Entwickler zweifellos eine gute Nachricht darstellt, vereinfacht leider auch das Leben für die bösen Buben.

Bislang gab es zwei Methoden, diesen Seiten grafische Benutzeroberflächen hinzuzufügen. Erstens mithilfe der "Facebook FBML App" unter Nutzung der statischen "Facebook Markup Language" (FBML) oder HTML; das war zwar nicht besonders attraktiv, aber sehr einfach zu bedienen. Zweitens durch das Hinzufügen einer individuellen Facebook-App innerhalb einer Standard-FBML-Benutzeroberfläche. Dadurch konnte die individuelle App externe Daten Dritter anfordern und innerhalb der Oberfläche auf der Seite anzeigen. Gleichzeitig waren diese Inhalte zahlreichen technischen Beschränkungen unterworfen, da alles einen Facebook-Proxy passieren musste. Damit wurde Vieles unterbunden, einschließlich JavaScript und Flash.

Was hat sich geändert?

Facebook erlaubt jetzt das Einbinden von iFrames in Facebook-Apps auf grafischen Oberflächen in den Seiten. Damit kann das Durchleiten durch den Facebook-Proxy vermieden werden. Während dies zweifelsohne eine gute Nachricht für ehrbare Entwickler darstellt, besteht gleichzeitig kein Zweifel daran, dass dadurch das Leben für die bösen Buben ebenfalls viel einfacher wird. Denn jetzt ist es möglich, eine Facebook-Seite aufzusetzen, eine Standard-Zieloberfläche (diejenige, die als erste beim Besuch der Seite erscheint) zu erzeugen und darin eine App einzubinden, die einen iFrame enthält. Dieser iFrame kann zum Beispiel JavaScript beinhalten, wodurch der Anwender unmittelbar und ohne jedes weitere Zutun auf eine beliebige Webseite umgeleitet werden kann. Dabei kann es auch um Seiten handeln, die etwa eine gefälschte Antivirensoftware (Fake AV) oder Schadcode zum Ausnützen von Sicherheitslücken beherbergen, um das System des Anwenders unbemerkt mit Schadsoftware zu infizieren. Cyberkriminelle müssen dadurch nicht mehr zum Drücken des "Gefällt mir"-Knopfs animieren oder zum Installieren einer App überreden. Vielmehr genügt es schon, den Besuch einer Seite durch geschickte Anreize unwiderstehlich zu machen. Denn allein damit wird die ganze Kette in Gang gesetzt, um den angegriffenen Rechner unter Kontrolle zu bringen und für kriminelle Zwecke zu missbrauchen.

Facebook wurde informiert

Selbstverständlich verpflichtet Facebook Entwickler auf einen Verhaltenskodex, der solche Machenschaften ausschließt. Doch was nützt das bei Cyberkriminellen? Wäre das nicht ein bisschen so, als würde man einem notorischen Raser mit dem Entzug seines Führerscheins drohen wollen? Ich habe Facebook über dieses Problem in der neuen Funktionalität informiert und werde über die Reaktion des Unternehmens auf meinem Blog berichten, sobald sie mir vorliegt.

Über Rik Ferguson
Rik Ferguson ist "Director Security Research & Communication EMEA" bei Trend Micro. In dieser Position konzentriert er sich auf die Erforschung neuer Bedrohungen, besonders im Social-Networking-Bereich. Gleichzeitig ist Ferguson, der über mehr als 17 Jahre Erfahrung in der IT-Sicherheit verfügt, Sprecher des Unternehmens für die EMEA-Region sowie Autor des Blogs "CounterMeasures: a Trend Micro blog".
Rik Ferguson ist "Certified Ethical Hacker", der im Unternehmensauftrag legale Tests mit den Mitteln und Vorgehensweisen eines richtigen Hackers ausführt.
Firmen- & Pressekontakt