Gastkommentar: Neue Facebook-Lücke durch JavaScript? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.02.2011 Rik Ferguson*

Gastkommentar: Neue Facebook-Lücke durch JavaScript?

Ende vergangener Woche hat Facebook einige wichtige Änderungen an der Art und Weise vorgenommen, wie in "Facebook Pages" die Fanseiten von Markenunternehmen, Musikgruppen etc. erstellt werden können.

Doch was für ehrbare Entwickler zweifellos eine gute Nachricht darstellt, vereinfacht leider auch das Leben für die bösen Buben.

Bislang gab es zwei Methoden, diesen Seiten grafische Benutzeroberflächen hinzuzufügen. Erstens mithilfe der "Facebook FBML App" unter Nutzung der statischen "Facebook Markup Language" (FBML) oder HTML; das war zwar nicht besonders attraktiv, aber sehr einfach zu bedienen. Zweitens durch das Hinzufügen einer individuellen Facebook-App innerhalb einer Standard-FBML-Benutzeroberfläche. Dadurch konnte die individuelle App externe Daten Dritter anfordern und innerhalb der Oberfläche auf der Seite anzeigen. Gleichzeitig waren diese Inhalte zahlreichen technischen Beschränkungen unterworfen, da alles einen Facebook-Proxy passieren musste. Damit wurde Vieles unterbunden, einschließlich JavaScript und Flash.

WAS HAT SICH GEÄNDERT? Facebook erlaubt jetzt das Einbinden von iFrames in Facebook-Apps auf grafischen Oberflächen in den Seiten. Damit kann das Durchleiten durch den Facebook-Proxy vermieden werden. Während dies zweifelsohne eine gute Nachricht für ehrbare Entwickler darstellt, besteht gleichzeitig kein Zweifel daran, dass dadurch das Leben für die bösen Buben ebenfalls viel einfacher wird. Denn jetzt ist es möglich, eine Facebook-Seite aufzusetzen, eine Standard-Zieloberfläche (diejenige, die als erste beim Besuch der Seite erscheint) zu erzeugen und darin eine App einzubinden, die einen iFrame enthält. Dieser iFrame kann zum Beispiel JavaScript beinhalten, wodurch der Anwender unmittelbar und ohne jedes weitere Zutun auf eine beliebige Webseite umgeleitet werden kann. Dabei kann es auch um Seiten handeln, die etwa eine gefälschte Antivirensoftware (Fake AV) oder Schadcode zum Ausnützen von Sicherheitslücken beherbergen, um das System des Anwenders unbemerkt mit Schadsoftware zu infizieren. Cyberkriminelle müssen dadurch nicht mehr zum Drücken des "Gefällt mir"-Knopfs animieren oder zum Installieren einer App überreden. Vielmehr genügt es schon, den Besuch einer Seite durch geschickte Anreize unwiderstehlich zu machen. Denn allein damit wird die ganze Kette in Gang gesetzt, um den angegriffenen Rechner unter Kontrolle zu bringen und für kriminelle Zwecke zu missbrauchen.

FACEBOOK WURDE INFORMIERT Selbstverständlich verpflichtet Facebook Entwickler auf einen Verhaltenskodex, der solche Machenschaften ausschließt. Doch was nützt das bei Cyberkriminellen? Wäre das nicht ein bisschen so, als würde man einem notorischen Raser mit dem Entzug seines Führerscheins drohen wollen? Ich habe Facebook über dieses Problem in der neuen Funktionalität informiert und werde über die Reaktion des Unternehmens auf meinem Blog berichten, sobald sie mir vorliegt.

*Rik Ferguson ist Director Security Research & Communication EMEA beim IT-Sicherheitsanbieter Trend Micro.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Huawei Technologies Austria GmbH

    Huawei Technologies Austria GmbH mehr

Hosted by:    Security Monitoring by: