zurück zum Artikel

Die 5000-Dollar-Lücke auf Facebook

Nachdem Facebook eine Sicherheitslücke beseitigt hat, dokumentiert der Entdecker [1] AMol NAik, wo und wie er sie gefunden hat. Dafür, dass er sie vorab vertraulich bei Facebook gemeldet hatte, strich er eine Prämie von 5000 US-Dollar ein. Bei dem Sicherheitsproblem handelt es sich um sogenanntes Cross Site Request Forgery – kurz CSRF [2]. Dabei kann ein Angreifer allein durch Aufruf einer bestimmten URL mit passenden Parametern eine Aktion im Kontext eines angemeldeten Benutzers ausführen.

Konkret konnte AMol NAik anscheinend beispielsweise ohne Zutun des Benutzers eine App in Facebooks neuem Appcenter hinzufügen. Das Opfer musste dazu lediglich eine passend präparierte Web-Seite aufrufen während es bei Facebook angemeldet war. Derartige Lücken wurden bereits öfter für Facebook-Würmer [3] oder massenhaften Versand von Spam-Nachrichten [4] ausgenutzt.

Normalerweise schützen sich Web-Sites vor CSRF-Manipulationen, indem sie für jede gültige Sitzung ein Token erzeugen, das mit jeder gültigen Anfrage mit geschickt werden muss. Ein Skript auf einer anderen Web-Site hat keinen Zugriff auf dieses Token und kann somit keine gültigen Requests erstellen. Dummerweise hat die neue Web-Applikation auf dem Facebook-Server offenbar die Richtigkeit des dafür vorgesehenen Tokens fb_dtsg nicht kontrolliert. Nach der Benachrichtigung hat das Facebook-Security-Team dieses Versäumnis allerdings innehalb eines Tages korrigiert. (ju [5])


URL dieses Artikels:
http://www.heise.de/-1673192

Links in diesem Artikel:
[1] http://amolnaik4.blogspot.in/2012/08/facebook-csrf-worth-usd-5000.html
[2] http://www.heise.de/thema/CSRF
[3] https://www.heise.de/meldung/Die-Facebook-Falle-mit-dem-Dislike-Button-1060596.html
[4] https://www.heise.de/meldung/Facebook-schliesst-Spammer-Luecke-1074819.html
[5] mailto:ju@ct.de