Web-Sicherheit

Juli 26, 2011

Neue Sicherheitsprobleme bei Facebook

Filed under: Allgemein — sebastiankuebeck @ 09:34
Tags: , , , , ,

Zur Zeit wird Facebook wieder einmal von zahlreichen Sicherheitsproblemen geplagt. Das erste ist eine Cross-Site-Request-Forgery-Schwachstelle die der „Finder“ vor ein paar Tagen veröffentlicht hat. Man kann also davon ausgehen, dass sie bald ausgenutzt wird, sofern Facebook nicht schnell darauf reagiert. Diese Schwachstelle ermöglicht es einem Angreifer unter gewissen Umständen Nachrichten unter dem Namen des Opfers zu versenden.

Das ganze funktioniert folgendermaßen (eine detailliertere Beschreibung von Cross-Site-Request-Forgery-Schwachstellen befindet sich in meinem Buch): Damit der Angriff funktioniert, muss sich das Opfer bei Facebook anmelden und dann auf eine präparierte Seite des Angreifers besuchen. Natürlich ist diese Seite geschickt getarnt, sodass der Ahnungslose Besucher nicht merkt, dass er in die Falle tappt. Weitere Aktivitäten des Benutzers sind nicht nötig denn jetzt ist es schon passiert. Die Seite enthält nämlich Code, der mit den Zugangsdaten des Benutzers im Hintergrund auf das Facebook-Konto desselben zugreift und dort eine Nachricht eingibt und absendet.

Schützen kann man sich vor dieser Art Angriffe auf folgende Weise:

  1. Melden Sie sich bei Facebook ab und deaktivieren Sie die Einstellung „angemeldet bleiben“ beim Einloggen. So haben Sie selbst die Kontrolle darüber, wann Sie bei Facebook angemeldet sein wollen und wann nicht.
  2. Schließen Sie alle Browserfenster und Tabs bevor Sie sich auf Facebook anmelden und melden Sie sich ab, wenn Sie eine andere Seite besuchen wollen.

Das zweite Problem ist ein Trojaner, der sich zur Zeit auf Facebook ausbreitet. Dieser Trojaner verbirgt sich in präparierten Facebook-Nachrichten, die einen vermeintlichen Link auf ein Video enthält. Klickt nun ein Besucher auf diesen Link, öffnet sich eine Seite, die Youtube täuschen echt nachempfunden ist, enthält ein Video mit dem Namen des Besuchers im Titel und gefälschte Kommentare von dessen Facebook-Freunden. Der Trojaner missbraucht dann die Möglichkeit von Facebook, Freunde von Freunden zu sehen und er verwendet diese Namen um den Betrug glaubwürdiger zu machen. Die gefälschten Kommentare drücken Ermutigung oder Enttäuschung aus, um das Interesse das Opfers zu erwecken.
Die gefälschte Youtube-Seite fordert daraufhin den Benutzer auf, eine vermeintliche Aktualisierung für den Flash-Player herunterzuladen und zu installieren. Hinter dieser „Aktualisierung“ steckt dann der eigentliche Trojaner, der sich in das Betriebssystem einnistet, Nachrichten der Windows-Firewall, von Windows-Update und dem Virenscanner unterdrückt und ein Popup-Fenster anzeigt, indem er den Benutzer zu einem Neustart seines Computers auffordert.
Interessant daran ist, dass er dutzende Virenscanner täuschend echt nachahmen kann, während der eigentliche Virenscanner still und heimlich für das Deinstallieren vorgemerkt wird. Der Trojaner verwendet das Programm bcdedit.exe um den Computer beim Neustart in den Reparaturmodus zu versetzten, wo die eigentliche Deinstallation geschieht. Nach einem nochmaligen Neustart ahmt dann der gefälschte Virenscanner das deinstallierte Original nach. So wiegt sich das Opfer weiter in Sicherheit, während der Trojaner unbemerkt noch weitere Schadsoftware aus dem Netz nachläd.
„Die infizierten Computer werden von Gangstern für eine große Anzahl von illegalen Zwecken missbraucht und die Funktionalität des Trojaners wird laufend durch Nachladen von Modulen erweitert. All das geschieht während der Benutzer denkt, er sei durch seinen Virenscanner geschützt.“, so ein Forscher von BitDefender, der den Trojaner aufgestöbert hat.

Schützen kann man sich vor diesem Trojaner, indem man Nachrichten darauf überprüft, ob diese dem Stil und der Sprache des Freundes entsprechen. Weiters sollte man prinzipiell nichts installiert, was man nicht kennt. Bis die Virenscanner diesen Trojaner zuverlässig identifizieren können, wird es wohl noch etwas dauern, allerdings sollte man sich sowieso nie zu 100% auf diese verlassen.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: