Facebook öffnet JavaScript-Schwachstelle

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Gestern gab es bei Facebook ein paar wichtige Änderungen zum Erstellen von Facebook Pages, also der Fanseiten von Marken, Bands oder auch Gurken.

Früher gab es zwei Möglichkeiten, um Registerkarten auf diesen Seiten anzulegen. Die erste Möglichkeit war die Facebook-App „FBML“. Mit statischem FBML- oder HTML-Code richtete man Registerkarten für die Seite ein – nicht gerade spannend, aber doch sehr einfach in der Anwendung. Bei der zweiten Methode konnte man einer solchen Standard-FBML-Registerkarte noch eine benutzerdefinierte Facebook-App hinzufügen. Diese App konnte externe Daten von Dritten abfragen und auf der Registerkarte anzeigen. Der Content unterlag jedoch zahlreichen technischen Beschränkungen, da seine Bereitstellung über Facebook erfolgte und dadurch beispielsweise Tracking-Pixel, JavaScript und Flash nicht mehr richtig angezeigt wurden.

Worin besteht jetzt also die großartige Neuerung? Facebook lässt nun auch iFrames innerhalb von Facebook-Apps zu. Das heißt, dass Facebook nicht mehr als Proxy agieren muss. Nun können sich natürlich alle seriösen Entwickler freuen – es erleichtert aber auch denen das Leben, die mit eher bösartigen Absichten unterwegs sind.

Man kann jetzt also eine Facebook Page einrichten und standardmäßig eine Registerkarte für die Startseite anlegen, die eine App mit einem iFrame enthält. Dieses iFrame wiederum enthält ein JavaScript, das Sie sofort und ohne jedes Eingreifen Ihrerseits auf eine Website seiner Wahl weiterleitet. So eine Seite könnte zum Beispiel gefälschte Antiviren-Software enthalten oder ein Exploit-Kit, das nur darauf wartet, Sie mit Malware zu infizieren.

Es braucht als keine „Gefällt mir“-Entführung mehr; man muss keine Benutzer mehr dazu überreden, die eigene App zu installieren – jetzt brauchen Kriminelle nur noch einen entsprechend verlockenden Köder auszulegen, damit man ihre Seite aufruft. Das reicht dann aus, um die Kettenreaktion auszulösen, durch die Ihr Computer infiziert und für kriminelle Machenschaften missbraucht wird.

Natürlich bittet Facebook seine Entwickler, einen Verhaltenskodex zu befolgen, der solche Aktivitäten verbietet; aber wenn es um Kriminelle geht, ist es ein bisschen so, als würde man jemandem, der auf Spritztouren steht, seinen Führerschein wegnehmen.

Facebook wurde über diese Schwachstelle in der neuen Funktion bereits informiert.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>