Eine weitere Sicherheitslücke in Facebook wurde gemeldet, welche es Hackern möglich gemacht haben könnte, gewisse persönliche Informationen über Facebook-Nutzer und ihre Freunde zu erhalten und so womöglich die Privatsphäre von Benutzern des weltweit beliebtesten sozialen Netzwerks zu gefährden.

Die Schwachstelle wurde von Cybersecurity-Forschern von Imperva entdeckt und spiegelt sich im Prozess wieder, mit dem die Facebook-Suchfunktion Ergebnisse für eingegebene Suchen anführt.

Laut Ron Masas, einem Forscher bei Imperva, beinhält die Seite, welche die Suchresultate auflistet, iFrame-Elemente. Diese snd mit dem jeweiligen Ergebnis verbunden, wobei die Endung der URLs dieser iFrames keine Schutzmechanismen aufwiesen, welche vor Cross-Site-Request-Forgery-Angriffen (CSRF) schützen.

Es sollte berücksichtigt werden, dass die neu gemeldete Schwachstelle bereits behoben wurde. Im Gegensatz zu vorherigen gemeldeten Fehlern in Facebook, welche die persönlichen Informationen von 30 Millionen Benutzern freigegeben hatten, konnten Angreifer dieses Mal jedoch nicht Informationen von einer Vielzahl an Konten auf einmal extrahieren.

Wie funktioniert die Sicherheitsschwachstelle in der Facebook-Suche

Um diese Sicherheitslücke auszunutzen, müssen Angreifer nur einen Benutzer auf eine bösartige Seite auf ihrem Web Browser locken, wenn sie bereits in Facebook eingeloggt sind.

Die böswillige Seite enthält einen JavaScript Code, der sich im Hintergrund öffnet, sobald das Opfer auf der Seite irgendwohin klickt.

„Damit dieser Angriff funktioniert, müssen wir einen Facebook-Benutzer dazu bringen, unsere böswillige Seite zu öffnen und auf dieser irgendwohin zu klicken (es muss uns nur möglich sein, JavaScript auf dieser Webseite zu verwenden). Dies erlaubt uns ein Pop-Up-Fenster oder einen neuen Tab zur Facebook-Suchseite zu öffnen, womit wir den Nutzer dazu zwingen können, jede Suche die wir wollen auszuführen“, erklärt Masas in einem Blog-Eintrag, der heute veröffentlicht wurde.

Wie von Masas im unten angeführten Video gezeigt, öffnet der JavaScript Code einen neuen Tab oder ein neues Fenster mit einem Facebook URL, welcher einige vorherig bestimmten Suchanfragen ausführt. Dann werden die Resultate analysiert, um die gefragten Informationen zu erhalten.

Etwas auf Facebook zu suchen, scheint weniger lukrativ zu sein, vor allem wenn der erhaltene Code das Ergebnis nur aus einem „Ja“ oder „Nein“ besteht.

„Tatsächlich lässt der Angriff die Anzahl der Suchresultate für jede Suchanfrage des derzeitig angemeldeten Facebook-Kontos durchsickern. Die häufigste Verwendung sind boolesche Anfragen wie „Fotos von mir in Island““, erklärte Masas der Social-News-Website The Hacker News.

Aber im Fall von richtiger Verwendung, kann die Facebook-Suchfunktion missbraucht werden, um heikle Informationen aus Ihrem Facebook-Konto zu erhalten, wie z. B. um zu prüfen:

  • Ob sie eine/n Freund/in mit einem speziellen Namen oder einem Schlüsselwort in seinem/ihrem Namen haben
  • Ob Sie eine bestimmte Seite liken oder Mitglied einer speziellen Gruppe sind
  • Ob Sie eine/n Freund/in haben, der/die eine gewisse Seite mit einem Gefällt mir versehen haben
  • Ob Sie Fotos an einem speziellen Ort oder Land gemacht haben
  • Ob Sie jemals Fotos hochgeladen haben, die in einem bestimmten Ort/Land gemacht wurden
  • Ob Sie jemals ein Update in Ihrer Timeline gemacht haben, welches einen gewissen Text/ein gewisses Schlüsselwort beinhalten
  • Ob Sie islamische Freunde haben

Und so weiter… jede benutzerspezifische Anfrage, die Sie sich vorstellen können.

„Dieser Prozess kann wiederholt werden, ohne dass neue Pop-Ups oder Registerkarten offen sein müssen, da der Angreifer die Platzierung des Facebook-Fensters steuern kann“, fügte Masas hinzu. „Das ist besonders gefährlich für Telefonnutzer, da der geöffnete Tab einfach im Hintergrund untertauchen kann. Dies erlaubt dem Angreifer Resultate für vielzählige Suchanfragen zu extrahieren, während der Benutzer auf der Seite des Angreifers ein Video ansieht oder einen Artikel liest.“

Kurz, die Sicherheitsschwachstelle legte Interessen und Aktivitäten von den betroffenen Nutzern und deren Freunde frei, auch wenn die Privatsphäre-Einstellungen so eingestellt waren, dass diese Informationen nur für sie selbst oder Freunde sichtbar sind.

Imperva meldete diesen Fehler verantwortungsvoll bei Facebook durch das Programm des Unternehmens zur Offenlegung von Sicherheitslücken im Mai 2018. Der soziale Netzwerk-Gigant löste das Problem wenige Tage später, indem er einen CSRF-Schutz hinzufügte.