Facebook-Lücke erlaubte unbemerkte Webcam-Aufnahmen

Rund vier Monate nachdem zwei Sicherheitsforscher eine Schwachstelle in Facebooks Video-Upload-Funktion meldeten, soll de Lücke geschlossen worden sein. Die Entdecker sind überrascht über die Höhe der von Facebook gezahlten Belohnung.

In Pocket speichern vorlesen Druckansicht 58 Kommentare lesen
Lesezeit: 2 Min.

Facebook hat eine Sicherheitslücke geschlossen, durch die ein Angreifer ungefragt Videos über die Webcam seines Opfers aufzeichnen und auf dessen Facebook-Profil (Timeline) veröffentlichen konnte. Eilig hatte es der Betreiber des sozialen Netzwerks dabei offenbar jedoch nicht: Die Sicherheitsforscher Aditya Gupta und Subho Halder haben das Unternehmen nach eigenen Angaben bereits vor vier Monaten vertraulich über das Problem informiert. Zufrieden sind die beiden trotzdem, da der von Facebook für die Lücke gezahlte Finderlohn deutlich höher als erwartet ausgefallen ist.

Die Forscher haben entdeckt, dass die in Flash umgesetzte Video-Upload-Funktion unzureichend vor Cross Site Request Forgery (CSRF) geschützt ist. Sie entwickelten daraufhin eine Demo-Seite, in die sie das Flash-Applet einbetteten. Beim Aufruf der Seite wurde der Video-Uploader angezeigt, der nach einem Klick auf den Aufnahmeknopf ein Video mit der Webcam des Besuchers aufgezeichnet und ungefragt auf dessen Facebook-Timeline veröffentlicht hat. Voraussetzung hierfür war, dass der Besucher zu diesem Zeitpunkt bei Facebook eingeloggt war.

In ihrem Demo-Video klicken die Forscher zwar noch selbst auf den Aufnahmeknopf, eine Weiterentwicklung könnte den Nutzer aber per Clickjacking potenziell dazu verleiten, unbemerkt die Aufnahme zu starten. Wie die beiden Forscher gegenüber Softpedia berichteten, hielt Facebook die Schwachstelle zunächst für wenig gefährlich. Erst nachdem die Forscher das Ausnutzen der Lücke mit ihrem Proof-of-Concept vorführten, stufte das soziale Netzwerk die Schwachstelle als kritisch ein.

Subho Halder freut sich über die Belohnung.

(Bild: Twitter )

Kurz nach Weihnachten erhielten Gupta und Halder die erfreuliche Nachricht, dass ihr Fund im Rahmen von Facebook Bug-Bounty-Programms mit einer Prämie von 2.500 US-Dollar als Guthaben auf einer White-Hat-Debitkarte belohnt wird. Die beiden Forscher zeigten sich überrascht von der späten, aber dafür großzügigen Reaktion des Unternehmens: "Wir haben eine Belohnung von 500 US-Dollar erwartet, denn das ist normalerweise Facebooks Pauschale für Sicherheitsforscher, wenn es sich nicht um ein kritisches Problem handelt". (kbe)