Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)

Send to Kindle

Angeregt durch die gestern berichtete Sicherheitslücke in Facebook, die es Usern ermöglicht, unter bestimmten Umständen Nachrichten im Namen Ihrer Freunde an Gruppen zu senden, habe ich ein wenig experimentiert und bin auf eine weitere Sicherheitslücke gestoßen. Im Prinzip ist es möglich, jedem Facebook-User im Namen eines anderen Facebook-Users eine private Nachricht auf Facebook zu schicken, ohne eingeloggt zu sein. Zwei Bedingungen müssen dafür erfüllt sein: Der Angreifer muß die Login-Adresse des vermeintlichen Absenders kennen, und der Empfänger muß eine @facebook.com-Adresse besitzen, die der Angreifer ebenfalls kennen muß. Beides ist oftmals jedoch kein Problem, weil die Login-Adressen in den Privatsphäreeinstellungen nicht ausreichend geschützt und @facebook.com-Adressen oftmals ohnehin öffentlich zugänglich oder zumindest leicht erratbar sind, da sie über die Vanity-URL, also die Kurz-URL für User-Profile, ermittelbar sind, wenn der User eine hat. Ist der Empfänger der Nachricht im Chat eingeloggt, landet die Nachricht übrigens dort.

Daher gilt auch hier mein Rat von gestern, die Login-Adresse auf Facebook geheim zu halten und in den Privatsphäreeinstellungen ihre Sichtbarkeit auf "Nur ich" zu setzen. Inhaber von @facebook.com-Adressen sollten bei Mails mit seltsamen Inhalten, die scheinbar von Facebook-Usern stammen, nachfragen, ob diese wirklich der Absender sind. Grundsätzlich aber gilt: Die Authentizität von Mails und Chatnachrichten, die Sie über Ihre @facebook.com-Adresse erhalten, ist nicht gewährleistet!

Danke auch an @muzzelchen fürs Testen. 🙂

Update von 27. 06. 2011: An einem kleinen Detail läßt sich, wie ich eben festgestellt habe, doch ersehen, daß die Mail nicht direkt von einem Facebook-Account gesendet wurde. In der rechten oberen Ecke der Nachricht sehen Sie, wenn die Mail von außerhalb kommt, ein Briefsymbol. Wenn Sie über dieses Briefsymbol mit der Maus fahren, sehen Sie einen Text "Gesendet von mail@extern". "mail@extern" ist eine externe Mailadresse. Facebook stellt also offensichtlich doch fest, daß die Mail nicht intern versendet wurde. Leider wird dennoch der Eindruck geschaffen, die Mail käme von dem jeweiligen User, der die Mailadresse als Login-Adresse verwendet. Aber an dem kleinen Briefsymbol können Sie mit ziemlich großer Sicherheit feststellen, daß der Absender gefälscht wurde, denn kaum jemand, der Ihnen direkt in Facebook eine Mail schicken kann, wird Ihnen diese Mail von seiner Login-Adresse aus schicken.

Flattr this!

Facebook Share Twitter Share

6 Reaktionen zu “Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)”

  1. ❃ Emil Blume ❃

    Ich glaub Facebook fällt irgendwann sowieso wegen solcher Sachen auseinander...

  2. Alex

    Derzeit wächst es munter weiter, und bis 750 Millionen Leute weg sind, dauert es eine Weile. Und ich fürchte, die meisten davon werden mein Blogpost nicht lesen. Es sei denn, ihr sorgt dafür. 😉

  3. Tom

    Das ist keine Sicherheitslücke, das ist normales SMTP (smtpin.mx.facebook.com mit spam-filtern, z.B. spamhaus.org). Daß man Email-Absendern nicht unbedingt trauen kann sollte eigentlich bekannt sein.

  4. Alex

    Das ist falsch. Das ist sehr wohl eine Sicherheitslücke, eben WEIL Facebook dem From-Header traut und die Mail bei entsprechendem From dem User zuordnet und so tut, als käme sie von intern. Würde Facebook erkennen, daß die Mail von extern kommt, würde sie im Ordner "Sonstiges" und nicht im normalen Posteingang landen, und der User könnte erkennen, daß es sich zumindest nicht um eine facebookinterne Mail handelt. Das ist ein klarer Fall von mangelnder Eingabevalidierung seitens Facebook. Der Empfänger MUSS dem angezeigten Absender vertrauen, weil er keine Header zur Überprüfung erhält. Ergo muß Facebook für den User sicherstellen, daß die Nachricht wirklich von dem Mitglied kommt. Da sie das nicht tun, ist das eine Sicherheitslücke. Facebook muß neben dem From-Header auch den absendenden Server validieren. Das ist auch gar kein Problem, weil interne Mails ja wohl immer von ihrem Server kommen.

    Und "sollte eigentlich bekannt sein" ist erst recht nicht hilfreich. Ottonormalfacebookuser weiß doch nicht mal, daß das über E-Mail läuft, sondern verläßt sich drauf, daß intern gewährleistet wird, daß der Absender stimmt. Und das ist sein gutes Recht. Man darf bei der Frage, was eine Sicherheitslücke ist, nie vom allwissenden Nerd ausgehen, sondern immer vom User mit dem wenigsten Wissen.

    Edit: Wie im Update beschrieben, erkennt Facebook den externen Absender wohl schon, macht aber nur sehr ungenügend kenntlich, daß die Mail nicht direkt vom Facebook-Account des Absenders aus versendet wurde, sondern von extern. Das entschärft das Problem zwar ein wenig, aber grundsätzlich sehe ich die Gefahr, daß User darauf hereinfallen.

  5. Alicia

    Habe aber immer noch ein Problem! Wie lösche ich die ursprüngliche Login-E-Mailadresse? Habe eine neue hinzugefügt (die ich für "sicher" halte) und möchte die alte jetzt ganz löschen. Geht aber nicht. Ich kann zwar bei den E-Mail-Privatsphäre-Einstellungen eine neue (Kontakt)-Adresse anlegen, aber FB lässt mich nur diese entfernen. Also gelten dann ja beide als Login, richtig? Und genau das will ich nicht!! Nur die Neue! Need help... 🙂

  6. Alex

    Also, ich konnte die alte Adresse dann entfernen. Ich kann dann für den Mailversand zwar immer noch meine alte Login-Adresse verwenden, aber die Mail sieht nicht mehr so aus, als käme sie von mir. Die neue kann ich im Moment gar nicht dafür verwenden.

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2021 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/

Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen) | Privatsphäre und Datenschutz im Web 2.0

Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)

Send to Kindle

Angeregt durch die gestern berichtete Sicherheitslücke in Facebook, die es Usern ermöglicht, unter bestimmten Umständen Nachrichten im Namen Ihrer Freunde an Gruppen zu senden, habe ich ein wenig experimentiert und bin auf eine weitere Sicherheitslücke gestoßen. Im Prinzip ist es möglich, jedem Facebook-User im Namen eines anderen Facebook-Users eine private Nachricht auf Facebook zu schicken, ohne eingeloggt zu sein. Zwei Bedingungen müssen dafür erfüllt sein: Der Angreifer muß die Login-Adresse des vermeintlichen Absenders kennen, und der Empfänger muß eine @facebook.com-Adresse besitzen, die der Angreifer ebenfalls kennen muß. Beides ist oftmals jedoch kein Problem, weil die Login-Adressen in den Privatsphäreeinstellungen nicht ausreichend geschützt und @facebook.com-Adressen oftmals ohnehin öffentlich zugänglich oder zumindest leicht erratbar sind, da sie über die Vanity-URL, also die Kurz-URL für User-Profile, ermittelbar sind, wenn der User eine hat. Ist der Empfänger der Nachricht im Chat eingeloggt, landet die Nachricht übrigens dort.

Daher gilt auch hier mein Rat von gestern, die Login-Adresse auf Facebook geheim zu halten und in den Privatsphäreeinstellungen ihre Sichtbarkeit auf "Nur ich" zu setzen. Inhaber von @facebook.com-Adressen sollten bei Mails mit seltsamen Inhalten, die scheinbar von Facebook-Usern stammen, nachfragen, ob diese wirklich der Absender sind. Grundsätzlich aber gilt: Die Authentizität von Mails und Chatnachrichten, die Sie über Ihre @facebook.com-Adresse erhalten, ist nicht gewährleistet!

Danke auch an @muzzelchen fürs Testen. 🙂

Update von 27. 06. 2011: An einem kleinen Detail läßt sich, wie ich eben festgestellt habe, doch ersehen, daß die Mail nicht direkt von einem Facebook-Account gesendet wurde. In der rechten oberen Ecke der Nachricht sehen Sie, wenn die Mail von außerhalb kommt, ein Briefsymbol. Wenn Sie über dieses Briefsymbol mit der Maus fahren, sehen Sie einen Text "Gesendet von mail@extern". "mail@extern" ist eine externe Mailadresse. Facebook stellt also offensichtlich doch fest, daß die Mail nicht intern versendet wurde. Leider wird dennoch der Eindruck geschaffen, die Mail käme von dem jeweiligen User, der die Mailadresse als Login-Adresse verwendet. Aber an dem kleinen Briefsymbol können Sie mit ziemlich großer Sicherheit feststellen, daß der Absender gefälscht wurde, denn kaum jemand, der Ihnen direkt in Facebook eine Mail schicken kann, wird Ihnen diese Mail von seiner Login-Adresse aus schicken.

Flattr this!

Facebook Share Twitter Share

6 Reaktionen zu “Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)”

  1. ❃ Emil Blume ❃

    Ich glaub Facebook fällt irgendwann sowieso wegen solcher Sachen auseinander...

  2. Alex

    Derzeit wächst es munter weiter, und bis 750 Millionen Leute weg sind, dauert es eine Weile. Und ich fürchte, die meisten davon werden mein Blogpost nicht lesen. Es sei denn, ihr sorgt dafür. 😉

  3. Tom

    Das ist keine Sicherheitslücke, das ist normales SMTP (smtpin.mx.facebook.com mit spam-filtern, z.B. spamhaus.org). Daß man Email-Absendern nicht unbedingt trauen kann sollte eigentlich bekannt sein.

  4. Alex

    Das ist falsch. Das ist sehr wohl eine Sicherheitslücke, eben WEIL Facebook dem From-Header traut und die Mail bei entsprechendem From dem User zuordnet und so tut, als käme sie von intern. Würde Facebook erkennen, daß die Mail von extern kommt, würde sie im Ordner "Sonstiges" und nicht im normalen Posteingang landen, und der User könnte erkennen, daß es sich zumindest nicht um eine facebookinterne Mail handelt. Das ist ein klarer Fall von mangelnder Eingabevalidierung seitens Facebook. Der Empfänger MUSS dem angezeigten Absender vertrauen, weil er keine Header zur Überprüfung erhält. Ergo muß Facebook für den User sicherstellen, daß die Nachricht wirklich von dem Mitglied kommt. Da sie das nicht tun, ist das eine Sicherheitslücke. Facebook muß neben dem From-Header auch den absendenden Server validieren. Das ist auch gar kein Problem, weil interne Mails ja wohl immer von ihrem Server kommen.

    Und "sollte eigentlich bekannt sein" ist erst recht nicht hilfreich. Ottonormalfacebookuser weiß doch nicht mal, daß das über E-Mail läuft, sondern verläßt sich drauf, daß intern gewährleistet wird, daß der Absender stimmt. Und das ist sein gutes Recht. Man darf bei der Frage, was eine Sicherheitslücke ist, nie vom allwissenden Nerd ausgehen, sondern immer vom User mit dem wenigsten Wissen.

    Edit: Wie im Update beschrieben, erkennt Facebook den externen Absender wohl schon, macht aber nur sehr ungenügend kenntlich, daß die Mail nicht direkt vom Facebook-Account des Absenders aus versendet wurde, sondern von extern. Das entschärft das Problem zwar ein wenig, aber grundsätzlich sehe ich die Gefahr, daß User darauf hereinfallen.

  5. Alicia

    Habe aber immer noch ein Problem! Wie lösche ich die ursprüngliche Login-E-Mailadresse? Habe eine neue hinzugefügt (die ich für "sicher" halte) und möchte die alte jetzt ganz löschen. Geht aber nicht. Ich kann zwar bei den E-Mail-Privatsphäre-Einstellungen eine neue (Kontakt)-Adresse anlegen, aber FB lässt mich nur diese entfernen. Also gelten dann ja beide als Login, richtig? Und genau das will ich nicht!! Nur die Neue! Need help... 🙂

  6. Alex

    Also, ich konnte die alte Adresse dann entfernen. Ich kann dann für den Mailversand zwar immer noch meine alte Login-Adresse verwenden, aber die Mail sieht nicht mehr so aus, als käme sie von mir. Die neue kann ich im Moment gar nicht dafür verwenden.

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2021 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/