News-Meldung vom 05.11.2009 18:55

Facebook und Myspace schließen Flash-Hintertüren

Der Web-Entwickler Yvo Schaap entdeckte bei seiner Arbeit, dass Facebook und Myspace die Rechte für Flash-Applikationen zu freizügig verteilt hatten. So konnten Schaaps Flash-Applikationen plötzlich auf die kompletten Facebook-Daten eines anderen Anwenders zugreifen.

Normalerweise dürfen Flash-Applikationen nur auf die Ressourcen des Servers zugreifen, von dem sie geladen wurden. Damit Entwickler ihre Anwendungen etwas flexibler gestalten können, hat Adobe die Möglichkeit eingeführt, anderen Servern explizit Zugriff zu gewähren. Dies geschieht über die Datei crossdomain.xml im Wurzelverzeichnis eines Web-Servers. Dort hat Facebook auf seiner Haupt-Domain über Anweisungen wie

<cross-domain-policy>
...
<allow-access-from domain="external.ak.fbcdn.net" />
...
</cross-domain-policy>

vertrauenswürdigen Sites dieses Recht eingeräumt. Auf der Unter-Domain www.connect.facebook.com fand Schaap jedoch dieses Statement:

<allow-access-from domain="*" />

das dem gesamten Internet den Zugriff gestattet. Ist ein Anwender bei Facebook angemeldet oder hat er auf seinem PC die beliebte Auto-Login-Funktion aktiviert, könnte damit jedes Flash-Applet auf einer bösen Web-Seite über connect.facebook.com auf all seine Facebook-Daten zugreifen oder auch in seinem Namen Meldungen absetzen. Über Nachrichten mit Links an die Freunde der Opfer hätte sich auch ein Facebook-Wurm basteln lassen.

Bei MySpace war der Fall weniger offensichtlich. Dort hatte der Betreiber den Zugriff offenbar bewusst auf eine Reihe von Sites beschränkt, darunter auch farm.sproutbuilder.com. Dumm nur, dass auf dieser Site die Nutzer selbst Flash-Dateien hochladen konnten – theoretisch auch solche, die MySpace-Accounts plündern.

Beide Anbieter haben laut Schaap diese Sicherheitsprobleme behoben, kurz nachdem er sie benachrichtigt hatte. Die Lücken zeigen jedoch einmal mehr, dass in puncto Sicherheit viele Social Networking Sites noch ziemlichen Nachholbedarf haben.

Siehe dazu auch: