{"id":237940,"date":"2020-11-22T10:59:55","date_gmt":"2020-11-22T09:59:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237940"},"modified":"2020-11-22T11:13:08","modified_gmt":"2020-11-22T10:13:08","slug":"sicherheitsvorflle-bei-facebook","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/22\/sicherheitsvorflle-bei-facebook\/","title":{"rendered":"Sicherheitsvorfälle bei Facebook"},"content":{"rendered":"

[English<\/a>]Bei Facebook sind die letzten Tage Sicherheitsvorf\u00e4lle und Probleme bekannt geworden, die ich kurz in einem Blog-Beitrag zusammenfassen m\u00f6chte. So erm\u00f6glichte die Android Messenger-App das Belauschen von Nutzern.\u00a0 Zudem haben Sicherheitsforscher eine ungesicherte Datenbank mit 100.000 Daten von Facebook-Nutzern gefunden, die eine riesige\u00a0 Kreditkartenbetrugs- und Phishing-Kampagne, die auf Facebook-Nutzer zielt, aufgedeckte.<\/p>\n

<\/p>\n

Schwachstelle in Android Messenger-App<\/h2>\n

\"\"Facebook versucht auf Mobilger\u00e4ten ja die betreffende App f\u00fcr Direktnachrichten an die Nutzerschaft zu bringen. Ich selbst verwende den Desktop-Modus im Chrome-Browser, um mir das Facebook App-Geraffel auf den Android-Ger\u00e4ten zu ersparen. Aber der Gro\u00dfteil der Nutzerschaft d\u00fcrfte unter Android den Messenger von Facebook als App installiert haben.<\/p>\n

Anfang Oktober 2020 haben Sicherheitsforscher von Googles Project Zero eine Sicherheitsl\u00fccke in der Android Messenger-App<\/a> aufgedeckt. Im Facebook Messenger lassen sich Audio- und Videoanrufe \u00fcber die WebRTC-API abwickeln. Zum Aufbau einer Kommunikation werden zwischen anrufendem und angerufenem Ger\u00e4t eine Reihe von informellen Nachrichten austauscht. Normalerweise \u00fcbertr\u00e4gt der Angerufene erst dann Audio, wenn der Benutzer der Annahme des Anrufs zugestimmt hat.<\/p>\n

Es gibt jedoch einen Nachrichtentyp SdpUpdate <\/em>, der nicht f\u00fcr den Verbindungsaufbau verwendet wird. Wenn eine Nachricht dieses Typs an das Ger\u00e4t des Angerufenen gesendet wird, w\u00e4hrend es klingelt, veranlasst dies sofort mit der Audio\u00fcbertragung zu beginnen. Das k\u00f6nnte es einem Angreifer erm\u00f6glichen, die Umgebung des Angerufenen zu \u00fcberwachen. Diese Schwachstelle wurde durch ein Update der Android Messenger-App inzwischen behoben. Weitere Details lassen sich bei Bedarf bei Golem nachlesen<\/a>.<\/p>\n

Hinweise auf Facebook-Kreditkartenbetrug durch Datenleck<\/h2>\n

Sicherheitsforscher von vpnMentor sind auf eine offene, ungesicherte Datenbank im Internet gesto\u00dfen, die eine potenziell massive Phishing- und Kreditkartenbetrugsoperation aufgedeckt, die auf Facebook-Nutzer abzielt. Die ungesicherte Datenbank enthielt die von den Betr\u00fcgern gespeicherten privaten Daten von 100.000 ihrer Opfer.<\/p>\n

\"Facebook-Besucherliste\"
\nFacebook-Besucherliste, Quelle: vpnMentor<\/p>\n

Die Betr\u00fcger t\u00e4uschten Facebook-Benutzer mit Hilfe eines Tools, das vorgab, die Besucher ihrer Profile preiszugeben. Das Tool forderte dazu von den Opfern die Anmeldedaten f\u00fcr ihre privaten Konten. Die Betr\u00fcger benutzten die gestohlenen Anmeldeinformationen, um Spam-Kommentare in Facebook-Postings \u00fcber das gehackte Konto der Opfer zu verbreiten und die Leute auf ihr Netzwerk von Betrugswebsites zu leiten. Diese Websites f\u00fchrten schlie\u00dflich alle zu einer gef\u00e4lschten Bitcoin-Handelsplattform, die benutzt wurde, um Menschen zur Einzahlung von mindestens 250 Euro zu verleiten und um den Einzahlungsbetrag zu betr\u00fcgen. Die Operation zielte weltweit auf Facebook-Nutzer. Details zu diesem Fall lassen sich in diesem Blog-Beitrag<\/a> (Englisch) von vpnMentor nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bei Facebook sind die letzten Tage Sicherheitsvorf\u00e4lle und Probleme bekannt geworden, die ich kurz in einem Blog-Beitrag zusammenfassen m\u00f6chte. So erm\u00f6glichte die Android Messenger-App das Belauschen von Nutzern.\u00a0 Zudem haben Sicherheitsforscher eine ungesicherte Datenbank mit 100.000 Daten von Facebook-Nutzern gefunden, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5070,426],"tags":[1199,4328],"class_list":["post-237940","post","type-post","status-publish","format-standard","hentry","category-facebook","category-sicherheit","tag-facebook","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237940","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237940"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237940\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237940"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237940"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237940"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}