heise online › News › 2009 › KW 45 › Facebook und Myspace schließen Flash-Hintertüren
05.11.2009 18:55
Facebook und Myspace schließen Flash-Hintertüren
Der Web-Entwickler Yvo Schaap entdeckte bei seiner Arbeit, dass Facebook und Myspace die Rechte für Flash-Applikationen zu freizügig verteilt hatten. So konnten Schaaps Flash-Applikationen plötzlich auf die kompletten Facebook-Daten eines anderen Anwenders zugreifen.
Normalerweise dürfen Flash-Applikationen nur auf die Ressourcen des Servers zugreifen, von dem sie geladen wurden. Damit Entwickler ihre Anwendungen etwas flexibler gestalten können, hat Adobe die Möglichkeit eingeführt, anderen Servern explizit Zugriff zu gewähren. Dies geschieht über die Datei crossdomain.xml im Wurzelverzeichnis eines Web-Servers. Dort hat Facebook auf seiner Haupt-Domain über Anweisungen wie
<cross-domain-policy>
...
<allow-access-from domain="external.ak.fbcdn.net" />
...
</cross-domain-policy>
vertrauenswürdigen Sites dieses Recht eingeräumt. Auf der Unter-Domain www.connect.facebook.com fand Schaap jedoch dieses Statement:
<allow-access-from domain="*" />
das dem gesamten Internet den Zugriff gestattet. Ist ein Anwender bei Facebook angemeldet oder hat er auf seinem PC die beliebte Auto-Login-Funktion aktiviert, könnte damit jedes Flash-Applet auf einer bösen Web-Seite über connect.facebook.com auf all seine Facebook-Daten zugreifen oder auch in seinem Namen Meldungen absetzen. Über Nachrichten mit Links an die Freunde der Opfer hätte sich auch ein Facebook-Wurm basteln lassen.
Bei MySpace war der Fall weniger offensichtlich. Dort hatte der Betreiber den Zugriff offenbar bewusst auf eine Reihe von Sites beschränkt, darunter auch farm.sproutbuilder.com. Dumm nur, dass auf dieser Site die Nutzer selbst Flash-Dateien hochladen konnten – theoretisch auch solche, die MySpace-Accounts plündern.
Beide Anbieter haben laut Schaap diese Sicherheitsprobleme behoben, kurz nachdem er sie benachrichtigt hatte. Die Lücken zeigen jedoch einmal mehr, dass in puncto Sicherheit viele Social Networking Sites noch ziemlichen Nachholbedarf haben.
Siehe dazu auch:
- Hintertür bei Twitter schließen auf heise Security
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Kommentare lesen (11 Beiträge)
English version: Facebook and Myspace bolt Flash backdoors
heise Security
Programmieren von Exploits
Sieben Tutorials zeigen alles, was man wissen muss, um zuverlässige Exploits für Buffer Overflows in Software zu schreiben
mehr...
TLS-Renegotiation-Schwachstelle erklärt
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt.
mehr...
Security Operations von Innen
Im Security Operations Center (SOC) überwacht Symantec aus der Ferne die Netzwerke seiner Kunden auf Hackerangriffe und verdächtige Aktivitäten. Wir haben uns das SOC von innen angeschaut.
mehr...
Alerts
News
Sicherheitslücken in Add-ons gefährden Firefox-Anwender
ENISA-Studie hilft bei Risikoabschätzung für Cloud Computing
Fedora rudert bei den Installationsrechten zurück
PHP 5.3.1: Bug-Fixes und Sicherheitskorrekturen
Forderungen nach mehr Videoüberwachung für Sicherheit in Bus und Bahn
ONLINE MARKT
Werbung
Verbundene Unternehmen
Das eBook des Tages!