Facebook behebt Webcam-Hacking-Sicherheitslücke

Facebook hat eine Sicherheitslücke behoben, die es Angreifern ermöglichte, Webcam-Videos heimlich aufzuzeichnen und auf dem Facebook-Profil des Hacking-Opfers zu veröffentlichen. Grund für diese Sicherheitslücke war eine unzureichende Absicherung der Video-Upload Funktion gegen Cross Site Request Forgery (CSRF). Von schnellem Handeln seitens Facebook kann allerdings nicht die Rede sein, denn das Problem wurde bereits im Juli letzten Jahres bekannt als die indischen Sicherheitsforscher Aditya Gupta und Subho Halder Facebook auf eine mögliche Gefährdung der User hingewiesen hatten.

Gupta und Halder erstellten eine Demo-Seite, in der die Sicherheitslücke unter Beweis gestellt werden sollte. Mit dem Starten der Seite rief der User eine Flash App auf, die per Klick auf Aufnahme eine Videoaufzeichnung des Besuchers machte. Dieses wurde automatisch auf Facebook geteilt. Die manuelle Aktivierung der Aufnahmefunktion ließe sich den Sicherheitsforschern zufolge jedoch mittels Clickjacking umgehen. Hacker könnten so ohne größere Schwierigkeiten und ohne aktive Handlung seitens des Opfers den User ungehindert via Webcam filmen. Einzige Voraussetzung für das Teilen dieser Aufnahmen auf Facebook wäre dann, dass der User auf dem Social-Media-Portal eingeloggt ist.

Wie die Brisbane Times berichtet, erhielten beide Forscher für ihren Fund eine großzügige Belohnung von 2.500 Dollar im Rahmen des von Facebook initiierten Security-Bug-Bounty–Programms. Diese Belohnung für Bug-Funde ist dabei nicht unumstritten. Microsoft etwa lehnt eine solche Praxis ab, da sie mitunter auch Kriminelle belohne. Allerdings gibt es auch hier einen Schwarzmarkt, auf dem für interessante Informationen zu Sicherheitslücken weitaus mehr bezahlt wird.

Kommentare

Ihr Kommentar zum Thema

Zum Seitenanfang