Nachdem erst vor wenigen Tagen ein Privacy-Problem in Facebooks "Midnight Delivery"-System ruchbar geworden war, gibt es nun den nächsten Bericht über eine kritische Lücke im sozialen Netzwerk. In diesem Fall scheint diese aber zumindest entfernt worden zu sein, bevor sie tatsächlich aktiv ausgenutzt wurde.
Wie die Sicherheitsexperten Aditya Gupta und Subho Halder aufgespürt haben, war es nämlich möglich ein Video über die Webcam der NutzerInnen aufzuzeichnen und anschließend in deren Timeline auf Facebook zu posten. Die Schwachstelle war in der Video-Upload-Funktion zu finden, die sich für eine sogenannte "Cross Site Request Forgery"-Attacke anfällige zeigte.
In einem Video demonstrieren die Sicherheitsforscher, wie so ein Angriff dann aussehen hätte können: In eine beliebige Webseite wurde der Video-Uploader integriert und die Aufnahme gestartet. Ist der betreffende User zu dem Zeitpunkt im Browser auf Facebook eingeloggt, lässt sich dann das Video ganz ohne deren Zutun posten. In dem betreffenden Video ist noch zu sehen, wie einer der Forscher manuell den Aufnahmeknopf bedient, hier könnten aber die NutzerInnen auch per Tricks wie Clickjacking dazu verleitet werden, die Aufnahme ohne ihr Wissen zu starten.
Gegenüber Softpedia betonen die Entdecker der Lücke, dass man Facebook vorab informiert habe, um die NutzerInnen nicht unnötig zu gefährden. Dabei übt man allerdings auch leise Kritik an dem sozialen Netzwerk. Ursprünglich hatte man das Problem dort nämlich offenbar nicht sonderlich ernst genommen, und die Schwachstelle als "wenig gefährlich" eingestuft. Erst nachdem ein "Proof of Concept" präsentiert wurde, stufte man die Gefahrenstufe auf "kritisch" hoch. Von der ersten Meldung bis zur Beseitigung des Problems seien dabei rund vier Monate vergangen.
Dafür gibt es jetzt eine finanzielle Belohnung für die beiden Forscher: Im Rahmen des Bug-Bounty-Programms von Facebook, hat das Unternehmen den Entdeckern des Problems 2.500 US-Dollar zukommen lassen
