Facebook und Myspace schließen Flash-Hintertüren
Die Social-Networking-Sites hatten auf ihren Servern die Zugriffsrechte zu freizügig verteilt. Damit hätten Flash-Applets auf einer bösartigen Website alle Facebook-Daten ihrer Besucher auslesen oder Nachrichten in ihrem Namen schreiben können. Selbst ein Wurm wäre denkbar.
Der Web-Entwickler Yvo Schaap entdeckte bei seiner Arbeit, dass Facebook und Myspace die Rechte für Flash-Applikationen zu freizügig verteilt hatten. So konnten Schaaps Flash-Applikationen plötzlich auf die kompletten Facebook-Daten eines anderen Anwenders zugreifen.
Normalerweise dürfen Flash-Applikationen nur auf die Ressourcen des Servers zugreifen, von dem sie geladen wurden. Damit Entwickler ihre Anwendungen etwas flexibler gestalten können, hat Adobe die Möglichkeit eingeführt, anderen Servern explizit Zugriff zu gewähren. Dies geschieht über die Datei crossdomain.xml im Wurzelverzeichnis eines Web-Servers. Dort hat Facebook auf seiner Haupt-Domain über Anweisungen wie
<cross-domain-policy>
...
<allow-access-from domain="external.ak.fbcdn.net" />
...
</cross-domain-policy>
vertrauenswürdigen Sites dieses Recht eingeräumt. Auf der Unter-Domain www.connect.facebook.com fand Schaap jedoch dieses Statement:
<allow-access-from domain="*" />
das dem gesamten Internet den Zugriff gestattet. Ist ein Anwender bei Facebook angemeldet oder hat er auf seinem PC die beliebte Auto-Login-Funktion aktiviert, könnte damit jedes Flash-Applet auf einer bösen Web-Seite über connect.facebook.com auf all seine Facebook-Daten zugreifen oder auch in seinem Namen Meldungen absetzen. Über Nachrichten mit Links an die Freunde der Opfer hätte sich auch ein Facebook-Wurm basteln lassen.
Bei MySpace war der Fall weniger offensichtlich. Dort hatte der Betreiber den Zugriff offenbar bewusst auf eine Reihe von Sites beschränkt, darunter auch farm.sproutbuilder.com. Dumm nur, dass auf dieser Site die Nutzer selbst Flash-Dateien hochladen konnten – theoretisch auch solche, die MySpace-Accounts plündern.
Beide Anbieter haben laut Schaap diese Sicherheitsprobleme behoben, kurz nachdem er sie benachrichtigt hatte. Die Lücken zeigen jedoch einmal mehr, dass in puncto Sicherheit viele Social Networking Sites noch ziemlichen Nachholbedarf haben.
Siehe dazu auch:
- Hintertür bei Twitter schließen auf heise Security
(ju)
