Während Facebook in Deutschland derzeit mit einer Werbekampagne für mehr Datenschutz in eigener Sache wirbt, zeigt die kürzlich bekanntgewordene Sicherheitslücke im Facebook Messenger einmal mehr die Probleme des Konzerns bei der Ende-zu-Ende Verschlüsselung.
Der Inhalt im Überblick
Facebook Messenger
Facebook hat derzeit etwa ca. 1,8 Milliarden aktive Nutzer und bietet mit dem Facebook Messenger einen der meist genutzten, kostenlosen Instant-Messaging-Dienste an. Dieser kann von mobilen Geräten aus sowie über die Facebook Website von Facebook Mitgliedern genutzt werden.
Verschlüsselung ist optional
Seit Ende September diesen Jahres bietet der Facebook Messenger zwar die Möglichkeit Nachrichten zwischen den Parteien Ende-zu Ende zu verschlüsseln, die sogenannten „geheime Unterhaltungen. Jedoch ist dieses Feature nur für neue Chats aktiv und alle beteiligten Gesprächspartner müssen es in den Einstellungen aktiviert haben. Bestehende Chats sind also nicht Ende-zu Ende verschlüsselt, selbst wenn man die Option der geheimen Unterhaltungen aktiviert hat. Ein weiterer „Nachteil“ für den User ist, dass verschlüsselte Chats jeweils nur auf einem Gerät gelesen werden können, also nicht Geräte übergreifend.
Der „Originull“-Hack
Mit Hilfe eines sogenannten Cross-Origin-Bypass-Angriffs war es grundsätzlich möglich Inhalte von Facebook Messenger Konversationen über eine externe Webseite mitzulesen. Normalerweise sind Facebook Messenger Nutzer vor solchen Angriffen geschützt, da ein Nachrichtenaustausch per Javascript nur mit zulässigen Webseiten möglich ist. Hierfür wird der sog. „Access-Control-Allow-Origin“-Header überprüft und ein Datenaustausch findet nur statt, wenn dieser abgeglichen werden konnte.
Die Implementation des „Access-Control-Allow-Origin“-Header hatte Facebook beim Facebook Messenger zuletzt jedoch nicht richtig vorgenommen. So war es möglich mit Hilfe von normalen GET-Requests, herauszufinden, dass auch „Null“ als zulässige „Origin“ die „Sicherheitsüberprüfung“ standhält und musste diese Sicherheitslücke nur noch mit Hilfe eines Scripts ausgenutzt werden.
Eine ausführliche Darstellung des sog. „Originull“-Hacks können Sie auf der Webseite der Security-Firma Cynet nachlesen, wo Sie auch ein Video dazu finden.
Fehler behoben
Cynet hat nach Aufdecken der Sicherheitslücke diese sofort an Facebook gemeldet und hat Facebook den Fehler zwischenzeitlich behoben, so dass mit Hilfe dieses Exploits derzeit im Facebook Messenger keine Gefahren mehr bestehen. Nach Angaben des Unternehmens könnte aber immer noch Millionen anderer Websites, welche „origin null restriction checks“ verwenden, von der Sicherheitslücke betroffen sein. In dem Bericht heißt es:
„we will describe a severe security vulnerability found on Facebook, which also potentially affects millions of websites using origin null restriction checks, threatening user privacy and opening site visitors up to malicious entities.“
Schützt eure Daten!
Es besteht immer ein Risiko, dass Programmieren bei der Softwareentwicklung ein Fehler unterläuft, welcher dann von Angreifer ausgenutzt werden kann. Dennoch sollte man sich davon nicht abbringen lassen, auf die Sicherheit seiner Daten Wert zu legen. Bei der Verwendung von Messenger-Diensten ist darauf zu achten, dass die Chatverläufe Ende-zu-Ende verschlüsselt sind. Das verhindert zwar nicht das unrechtmäßige Abfangen der Daten, aber schützt zumindest davor, dass die gesendeten Nachrichten von Dritten gelesen werden können.
Zudem sollte jeder Nutzer sich der Gefahr einer Infektion durch Social Engineering oder Malware bewusst sein und daher entsprechende Sicherheitsvorkehrungen treffen.
