[English]Das soziale Netzwerk Facebook benutzt einen eigenen Ansatz, um infizierte Nutzersysteme zu erkennen und einen Online-Virenscanner von ESET laufen zu lassen. Als Facebook-Nutzer kann man sich dem nicht entziehen. Das ist nicht wirklich neu, war mir aber unbekannt. Hier die Informationen, die mir bisher vorliegen.
Anzeige
Ich muss gestehen, das Thema ist mir noch so nicht untergekommen, obwohl es bereits seit 2014 existiert. Möglicherweise kennt ihr das Thema, dann ignoriert den Beitrag einfach. Ich stelle es hier im Blog trotzdem mal ein. Vielleicht wird der eine oder andere Blog-Leser mit so etwas konfrontiert und kennt dann zumindest den Hintergrund, falls es bei ihm auftaucht.
Facebook Security warnt vor Infektionen
Ich bin durch einen Administrator-Post in einer Facebook-Gruppe zum Thema Sicherheit auf den Sachverhalt aufmerksam geworden. Der Administrator schrieb:
Facebook Security hat da wohl was neues Entwickelt.
Hat mich heute morgen echt überrascht.Kam auf einmal ne Nachricht, dass Facebook Informiert worden sei, dass mein Gerät möglicherweise infiziert ist.
Dadurch haben sie mein Zugang auf read-only gesetzt.
Als Beschreibung kam, dass das wegen den ganzen Links sein kann, die über Facebook kamen.
Im Klartext: Der Administrator erhielt eine Benachrichtigung, dass sein Client möglicherweise infiziert sei und der Facebook-Zugang der Person wurde auf Nur-lesen gesetzt. Das heißt, der Betreffende konnte erst einmal nichts bei Facebook posten. Diese Benachrichtigung sieht folgendermaßen aus:
Anzeige
Alter Schnee, mir aber nicht bekannt
An dieser Stelle habe ich im Internet gesucht, aber nicht sofort wirklich was gefunden. Bei Giga gibt es diesen Artikel, der sich mit dem Thema Betrug und Sicherheits-Check befasst. Dort wird vor einer Fake-Benachrichtigung gewarnt. Auch hier wird vor Betrug in diesem Zusammenhang gewarnt und auf eine offizielle Facebook-Seite verwiesen. Einige Informationen finden sich auch auf dieser Facebook-Seite.
Auf Facebook/Security wird mit Datum vom 20. Dezember 2017 auf eine Neuerung in der Facebook-App hingewiesen. Dort gibt es wohl eine Benachrichtigung, welche Mails von Facebook stammen. Aber zu Facebooks Virenscan gab es bei meiner ersten Suche nichts.
Erst als ich konkret nach Facebook und ESET gesucht habe, wurden verschiedene Treffer gefunden. Gemäß diesem Facebook-Beitrag ist die Funktion wohl seit 2014 verfügbar, wird aber nur bei tatsächlichen oder vermeintlichen Infektionen aktiv. Und (gelöscht) gibt es ähnliche Informationen – also nicht wirklich neu.
Weitere Ausführungen des Gruppen-Administrators
Der eingangs zitierte Gruppen-Administrator hat dann noch einige interessante Ausführungen gepostet, die ich mal wiedergebe. Unter anderem wurde ihm ein Download angeboten:
Bei so etwas hätten bei mir sofort alle Alarmglocken geläutet. Da könnte einem ja Malware untergeschoben werden. Das Szenario hat was von einem klassischen Phishing-Ansatz oder einer Malware-Kampagne. Der Betroffene schreibt weiter:
Dachte mir, lädst du runter, hat sich bestimmt bei mir ein Virus reingesetzt der facebook.com umrouted.
Habe dann die Dateien analysiert und was finde ich da? Die Signatur wurde mit dem Code Signing EV(!) Zertifikat von Facebook durchgeführt. An ein EV Zertifikat kommt man nur sehr schwer.
Habe dann das Programm nun ausgeführt und wolla, steht da ESET Facebook Scanner, signiert von Eset (auch gültig).
Dann verschwand das Programm in Hintergrund und ich konnte auf meiner www.facebook[.]com Seite den Scan verfolgen.
Ich finde die Idee nicht wirklich schlecht, aber auch nicht so gut, dass Facebook mit Admin Rechten den Rechner scannt.
Der Benutzer führt aus, dass Malwarebytes und Defender nichts von einer Infektion feststellen können. Dem Hinweis schließe ich mich an.
Wenn es schief läuft …
Der Ansatz ist möglicherweise gut gedacht, aber eine Fremdsoftware als Administrator unter Windows ausführen zu müssen, hat schon was (siehe vorherigen Absatz). Aber es kommt noch krasser. Als Facebook-Nutzer kommt man an einem Scan nicht vorbei, wenn Facebook (auf Grund von Aktivitäten im Konto, siehe) glaubt, eine Infektion erkannt zu haben.
Der Betroffene erhält die obige Benachrichtigung und kann nur noch lesen. Der Read-Mode für den Facebook-Zugang wird nur aufgehoben, nachdem man den Scan auf der Maschine durchgeführt hat. Das führt mitunter zu skurrilen oder nervigen Situationen. So gibt es (gelöscht), die jeden Anmeldevorgang mit einem Scan begleiten müssen.
Und noch skurriler: Hier beschwert sich ein Nutzer, das er sich problemlos an Facebook anmelden kann. Verwendet sein Vater das eigene Windows-Konto zur Anmeldung an Facebook, kommt ständig die Scan-Aufforderung. Hier ist die Lösung einfach – der Verdacht auf Malware scheint in einem Cookie gespeichert zu sein. Das Löschen der Browser-Historie samt Cookies scheint solche Probleme zu beheben.
Ob dieser Scan nur für Windows bereitsteht, oder auch für andere Betriebssysteme möglich ist, entzieht sich meiner Kenntnis.
Anzeige
Der Virus "Facebook" scannt PCs mit Admin-Rechten?
Naja da scannt der Virus sich dann wohl selbst oder?
Ist ja lustig am letzten Tag des Jahres.
Aber mal im Ernst, wollen die die Leute damit noch mehr ausspionieren?
Da kann man den PC ja gleich direkt an "Facebook" schicken, natürlich mit Passwort!
Das ist jetzt wirklich daneben. Es handelte sich um ein Programm von ESET, das sogar gültig signiert war. Jetzt steht Ihnen frei, sich selber weiter zu belügeln, damit Ihre eigene Weltsicht wieder stimmt, das ist ja das Problem mit den Filterblasen, das eigentlich vermehrt durch solche Sozialnetze gefördert wird, aber Sie beweisen hier, dass es das Problem auch außerhalb in krasser Form gibt.
Zum Problem wird dieser Ansatz bei Facebook definitiv, wenn ein Hacker Schädlinge darüber verteilen kann, oder Zertifikate erfolgreich gefälscht werden.
Kannst Du denn ausschließen, dass das Programm tatsächlich nur nach Viren scannt und nicht noch "andere Sachen" veranstaltet und an die Facebook-Gruppe übermittelt?