Trojanische Pferde auf Facebook
Eine Reihe von Facebook-Applikationen nutzt gezielt Sicherheitslücken im Adobe Reader aus, um Anwendern Scareware unterzuschieben. Die Anbieter der Apps sind dabei anscheinend selbst einem Angriff zum Opfer gefallen.
Roger Thompson vom Antiviren-Hersteller AVG warnt vor Facebook-Applikationen, die gezielt eine Sicherheitslücke im Adobe Reader ausnutzen, um Scareware zu installieren. Die Anbieter der Apps sind dabei anscheinend selbst einem Angriff zum Opfer gefallen.
Offenbar wurden in die Web-Seiten der Facebook-Applikationen IFrames eingebettet, die den bösartigen Code von wechselnden Servern nachluden. Hat der Anwender eine veraltete Reader-Version auf seinem System, infiziert dieser den Rechner mit einem angeblichen Sicherheitsprogramm. Das warnt dann auch gleich, man habe ein Sicherheitsproblem, für dessen Beseitigung man die Vollversion kaufen müsse. Diese Masche erklärt der heise-Security-Artikel Scharlatane und Hochstapler näher.
Wie die Web-Seiten infiziert wurden, ist bislang nicht klar. Betroffen waren laut Thompson die Facebook-Apps
- City Fire Department
- MyGirlySpace
- Ferrarifone
- Mashpro
- Mynameis
- Pass-it-on
- Fillinthe
- Aquariumlife
Die sich steigender Beliebtheit erfreuenden Apps in sozialen Netzen sind aber auch aus anderen Gründen durchaus bedenklich. Für die Antwort auf dringende Fragen wie "Welche Simpson-Figur bist du?" bitten sie den Anwender zunächst um Zugang zu seinem Konto. [Updated] Gestattet er das, haben sie Zugriff auf fast alle Ressourcen des Anwenders. Also nicht nur dessen Namen, Geburtsdatum und so weiter. Weil der Anwender in der Regel den Zugriff auf sein Profil nur generell akzeptieren oder ablehnen kann, können die Apps zumeist auch in dessen Namen Nachrichten verfassen oder die privaten Daten all seiner "Freunde" ausspionieren, die diese ihm vielleicht nur anvertraut haben, weil sie ihn ja gut kennen. Das ist in der Regel auch nicht zeitlich beschränkt, sondern jedes Spiel, jedes Quiz, das einmal in der Liste der akzeptierten Anwendungen landet, bleibt da auch, bis der Anwender es selbst dort entfernt. [/Updated]
Da die Applikation auf einem externen, meist sogar im Ausland befindlichen Server läuft und dann direkt im Namen des Anwenders mit Twitter oder Facebook spricht, hat der auch keine Möglichkeit, zu kontrollieren, was genau sie alles abgefragt hat. Und die Nutzungsbedingungen bieten wenig bis gar keinen Schutz vor Missbrauch. Diese Problematik illustriert das Facebook-Quiz What Do Quizzes Really Know About You? sehr eindrucksvoll – aber leider nur auf Englisch. Vielleicht wäre jetzt ein guter Zeitpunkt, die Facebook-Einstellungen für Applikationen mal auszumisten ...
Siehe dazu auch
- Bericht: Scareware erreicht "epidemische" Ausmaße auf heise Security
- Facebook schließt "gravierende Datenschutzlücke" auf heise Security
- Adobe schließt Sicherheitslücken im PDF-Reader und in Acrobat
(ju)
