Facebook: Neue Sicherheitslücke durch JavaScript?

LinkedInXingPocketWhatsAppFlipboard

rik_ferguson.jpgRik Ferguson, Director Security Research & Communication EMEA, Trend Micro, über dieses Thema.

Ende vergangener Woche hat Facebook einige wichtige Änderungen an der Art und Weise vorgenommen, wie in „Facebook Pages“ die Fanseiten von Markenunternehmen, Musikgruppen etc. erstellt werden können. Doch was für ehrbare Entwickler zweifellos eine gute Nachricht darstellt, vereinfacht leider auch das Leben für die bösen Buben.

Anzeige

Bislang gab es zwei Methoden, diesen Seiten grafische Benutzeroberflächen hinzuzufügen. Erstens mithilfe der „Facebook FBML App“ unter Nutzung der statischen „Facebook Markup Language“ (FBML) oder HTML; das war zwar nicht besonders attraktiv, aber sehr einfach zu bedienen. Zweitens durch das Hinzufügen einer individuellen Facebook-App innerhalb einer Standard-FBML-Benutzeroberfläche. Dadurch konnte die individuelle App externe Daten Dritter anfordern und innerhalb der Oberfläche auf der Seite anzeigen. Gleichzeitig waren diese Inhalte zahlreichen technischen Beschränkungen unterworfen, da alles einen Facebook-Proxy passieren musste. Damit wurde vieles unterbunden, einschließlich JavaScript und Flash.

Was hat sich geändert?

Facebook erlaubt jetzt das Einbinden von iFrames in Facebook-Apps auf grafischen Oberflächen in den Seiten. Damit kann das Durchleiten durch den Facebook-Proxy vermieden werden. Während dies zweifelsohne eine gute Nachricht für ehrbare Entwickler darstellt, besteht gleichzeitig kein Zweifel daran, dass dadurch das Leben für die bösen Buben ebenfalls viel einfacher wird. Denn jetzt ist es möglich, eine Facebook-Seite aufzusetzen, eine Standard-Zieloberfläche (diejenige, die als erste beim Besuch der Seite erscheint) zu erzeugen und darin eine App einzubinden, die einen iFrame enthält.

Dieser iFrame kann zum Beispiel JavaScript beinhalten, wodurch der Anwender unmittelbar und ohne jedes weitere Zutun auf eine beliebige Webseite umgeleitet werden kann. Dabei kann es auch um Seiten handeln, die etwa eine gefälschte Antivirensoftware (Fake AV) oder Schadcode zum Ausnützen von Sicherheitslücken beherbergen, um das System des Anwenders unbemerkt mit Schadsoftware zu infizieren. Cyberkriminelle müssen dadurch nicht mehr zum Drücken des „Gefällt mir“-Knopfs animieren oder zum Installieren einer App überreden. Vielmehr genügt es schon, den Besuch einer Seite durch geschickte Anreize unwiderstehlich zu machen. Denn allein damit wird die ganze Kette in Gang gesetzt, um den angegriffenen Rechner unter Kontrolle zu bringen und für kriminelle Zwecke zu missbrauchen.

Anzeige

Weitere Artikel

Analysen der Woche
Handys: Die Apps der Deutschen werden immer smarter
Analysen der Woche
Anwendungs-Container mit Docker gehören die Zukunft|Statement
Analysen der Woche
Mit dem Chief Digital Officer in das digitale Zeitalter|Kommentar
Analysen der Woche
Kampf gegen digitale Sorglosigkeit|Analyse der Woche
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.