Analyse von Facebook Nutzer jetzt möglich!

20. September 2016 | Von | Kategorie: Domain News, Domain-Tools

Neuer Exploit liest anonymisierte Daten von Nutzern aus

Wer auf Facebook eingeloggt ist, sollte sich vor einem neuen Exploit in Acht nehmen, wenn parallel andere Domains geöffnet sind. Die Attacke de-anonymisiert private Daten von Facebook Nutzern. Der Exploit wurde vom deutschen Sicherheitsexperten Harro Müller geschrieben. Nach seinen Angaben funktioniert die Anwendung derzeit ausschließlich bei Firefox und Chrome, da die anderen Browser die entsprechende APIs noch nicht implementiert haben.

Timing Attacke liest Targeted Posts aus
Der Exploit nutzt die sogenannten Targeted Posts aus. Domainbetreiber können diese Posts bei Facebook setzen, damit nur bestimmte demografische Zielgruppen die Werbung angezeigt bekommen. Der Webseiten Betreiber wird aber durch die Same-Origin-Policy der Browser gestoppt und kann weder Inhalt noch Größe der „Requests“ auslesen. Die Sicherheitsbestimmungen untersagt es laut Heise : “Skriptsprachen wie JavaScript, auf Objekte zuzugreifen, die von einer anderen Website stammen oder deren Speicherort nicht der Ursprungsdomain der Domain entspricht.“

Doch die Zeitspanne, die ein Request zu einer Domain benötigt, ist auslesbar und genau das nutzt der Exploit. Müller erklärt dazu : „Wenn ein User einen Post lesen kann, ist die Response-Size eines Requests wesentlich größer, als wenn er nicht gelesen werden kann.“ Das Script, das der Sicherheitsforscher geschrieben hat, schränkt durch gezielte Anfragen das Alter der Nutzer immer weiter ein. Die sogenannte „Ortserkennung“ des Exploits ermöglicht Anfragen bei Städten mit mehr als 100.000 Einwohnern.

Die Timing Attacke ist für Webseiten Betreiber interessant, die mehr über die Nutzer erfahren möchten. Der Exploit greift dann, wenn ein Nutzer eine Webseite besucht, während er bei Facebook eingeloggt ist. Ermittelbar sind z.B. Alter, Geschlecht und Wohnort.

Die neue Attacke funktioniert nach Angaben des Sicherheitsportals Heise und hat erste Tests erfolgreich bestanden. Harro Müller erklärt Verfahren und Ablauf in einer Schritt-für Schritt-Anleitung auf seiner Domain. Dort stellt er u.a. auch den Quellcode des Exploits zum Download zur Verfügung.

 

Schreibe einen Kommentar