Flickr: Schwachstelle ermöglichte Bilder-Uploads auf fremde Accounts
Flickr erlaubt es, per Mail Bilder zum eigenen Konto hinzuzufügen. Wie jetzt publik wurde, ließen sich die dafür generierten Mail-Adressen vergleichsweise leicht erraten – und dann theoretisch Bilder in beliebige Account posten.
Es gibt reichlich Möglichkeiten, Bilder zur Foto-Commnity Flickr hinzuzufügen. In der Regel sind dafür die Zugangsdaten des Yahoo-Accounts erforderlich. Nicht so beim Upload per Mail: Die an eine zufällig generierte Mail-Adresse geschickten Bilder werden direkt dem eigenen Konto hinzugefügt. Wie ein High-School-Schüler herausfand, waren diese EMail-Adressen allerdings vergleichsweise leicht zu erraten.
In seinem Blog dokumentiert der Schüler namens Jazzy ausführlich, wie er auf die Lücke stieß. So konnte er zwar keine gültigen Mail-Adressen direkt aus Flickr extrahieren, doch eine Upload-Adresse lässt sich bei Flickr beliebig oft neu generieren – was der Schüler tat. Dabei wurde deutlich, dass die Adressen immer aus der Kombinations von zwei Wörtern und einer dazwischengestellten Zahl zwischen 0 und 100 generiert wurden. Mit Hilfe eines Python-Scripts erstellte Jazzy über Nacht mehr als 20.000 Adressen und stieß bei der Analyse auf Wörter, die sich auffällig oft wiederholten.
Kleiner Wortschatz sorgt für Unsicherheit
Nur 935 unterschiedliche Wörter kamen demnach bei der Erstellung zum Einsatz. Insgesamt hätten diese sich mit den Ziffern zu gerade mal 87,5 Millionen einzigartigen Mail-Adressen kombinieren lassen. Bei rund 50 Millionen Flickr-Accounts hätte sich so theoretisch in mehr als der Hälfte der Versuche eine gültige Adresse finden lassen.
Laut Yahoo liegt die Zahl der aktiven Adressen deutlich darunter, da die Adresse erst beim Anklicken der Funktion in den Einstellungen generiert wird. Aktiv nutzen muss man sie dann aber nicht, es reicht ein neugieriger Klick auf die Funktion; deaktivieren lässt sich die Adresse anschließend nicht mehr.
Ob Flickr sich dann tatsächlich per Skript tausende Fotos hätte unterschieben lassen, bleibt offen. Der Bilderdienst hat die Schwachstelle nach dem Hinweis des Entdeckers behoben und eine "nette Belohnung" gezahlt. An neu generierten Adressen werden nun eine weitere Zufallszahl und ein weiteres Wort angehängt. Das vergrößert den Pool an möglichen EMail-Adressen beträchtlich. (asp)
