Es gibt nun weitere Details zu dem Vorfall des massiven Hacks auf Facebook, bei dem etwa 50 Millionen Nutzerkonten kompromittiert worden waren, nachdem Facebook ihn eingestanden hat. Der Angriff galt der (mittlerweile vorübergehend deaktivierten) Funktion "View As", bei der aus der Perspektive eines anderen Nutzers sein eigenes Facebook-Profil betrachtet wird. Diese Funktionen sollten eigentlich der Verbesserung der Privatsphäre dienen, was sich wegen mehrerer fataler Fehler in Facebooks Software jedoch ins Gegenteil verkehrte.

Am Freitag den 28.09.2018 hatte der Chef des Produktmanagements Guy Rosen zunächst den Hack eingestanden. Das Unternehmen bemerkte Anfang dieser Woche, dass ein Hacker eine Verwundbarkeit beim Rendern einer bestimmten HTML-Komponente des View-As-Features ausnutzte, wie Pedro Canahuati, Vizepräsident für Engineering, Sicherheit und Privatsphäre in einem ergänzten Blogpost schreibt. Eine ungewöhnlich hohe Aktivität beim View-As-Feature war bereits Mitte September aufgefallen. Aus dem Zusammenwirken dreier Software-Fehler ergab sich die Verwundbarkeit.

Eigentlich sollte "View As" nur lesenden Zugriff auf das Facebook-Profil gestatten. Allerdings wurde bei einer Box mit Schreibzugriff, über die jemandem zum Geburtstag gratulieren und ein Video gepostet werden konnte, das jedoch übersehen. Beim Nutzen dieser Box trat eine Version des Video-Uploaders vom Juli 2017 in Aktion, welche fälschlicherweise ein Access Token erzeugte, welches die Rechte der mobilen Facebook-App besaß.

Derzeit ist unklar, ob die Lücke somit bereits seit Juli 2017 ausgenutzt wurde und ob Facebook dies erst in der letzten Septemberwoche aufgrund vermehrter Zugriffe bemerkt hat. Tokens wie diese (mutmaßlich handelt es sich hier um OAuth-Tokens) erhalten üblicherweise Zugriff auf einen Dienst ohne Passwort. Des Weiteren haben sie eine begrenzte Lebensdauer und oft auch eingeschränkte Rechte – wie in diesem Fall waren nur Leserechte geplant.

Im speziellen Fall von "View As" kam zusätzlich hinzu, dass der Video-Uploader im Kontext dieser Funktion das Access Token nicht für den Betrachter eines Profils erstellte, sondern für den Benutzer, dessen Profil betrachtet wurde. Das Token war im HTML der Website verfügbar, welches sich der bislang unbekannte Hacker zunutze machte, indem der Angreifer zu weiteren Konten gelangte, über die er sich dann weitere Tokens beschaffte.

Über die Single-Sign-on-Funktion könnte die Facebook-Lücke jedoch größere Auswirkungen haben, da diese Funktion die Tokens nutzt und bietet dadurch die Möglichkeit, sich mit seinem Facebook-Account bei dritten Diensten und Websites wie Google, Twitter und zahlreichen anderen anzumelden.

Es ist zumindest mit dem Access Token von View As möglich, bei anderen Anbietern als der Facebook-Benutzer dieses Tokens aufzutreten und sich dort anzumelden. Eine unabsehbare Zahl von Daten und Profilen eines Benutzers könnten damit von Hackern im Besitz eines Tokens eingesehen werden. Facebook konnte bislang nicht eindeutig beantworten, ob jenes tatsächlich vorgefallen ist. Den Zugriff auf Third-Party-Apps hat das Unternehmen bei den betroffenen Tokens jedenfalls auch gesperrt.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE