Facebook: Neue Sicherheitslücke durch JavaScript?
ID: 348135
Ein Kommentar von Rik Ferguson,"Director Security Research&Communication EMEA"beim IT-Sicherheitsanbieter Trend Micro
Bislang gab es zwei Methoden, diesen Seiten grafische Benutzeroberflächen hinzuzufügen. Erstens mithilfe der "Facebook FBML App" unter Nutzung der statischen "Facebook Markup Language" (FBML) oder HTML; das war zwar nicht besonders attraktiv, aber sehr einfach zu bedienen. Zweitens durch das Hinzufügen einer individuellen Facebook-App innerhalb einer Standard-FBML-Benutzeroberfläche. Dadurch konnte die individuelle App externe Daten Dritter anfordern und innerhalb der Oberfläche auf der Seite anzeigen. Gleichzeitig waren diese Inhalte zahlreichen technischen Beschränkungen unterworfen, da alles einen Facebook-Proxy passieren musste. Damit wurde Vieles unterbunden, einschließlich JavaScript und Flash.
Was hat sich geändert?
Facebook erlaubt jetzt das Einbinden von iFrames in Facebook-Apps auf grafischen Oberflächen in den Seiten. Damit kann das Durchleiten durch den Facebook-Proxy vermieden werden. Während dies zweifelsohne eine gute Nachricht für ehrbare Entwickler darstellt, besteht gleichzeitig kein Zweifel daran, dass dadurch das Leben für die bösen Buben ebenfalls viel einfacher wird. Denn jetzt ist es möglich, eine Facebook-Seite aufzusetzen, eine Standard-Zieloberfläche (diejenige, die als erste beim Besuch der Seite erscheint) zu erzeugen und darin eine App einzubinden, die einen iFrame enthält. Dieser iFrame kann zum Beispiel JavaScript beinhalten, wodurch der Anwender unmittelbar und ohne jedes weitere Zutun auf eine beliebige Webseite umgeleitet werden kann. Dabei kann es auch um Seiten handeln, die etwa eine gefälschte Antivirensoftware (Fake AV) oder Schadcode zum Ausnützen von Sicherheitslücken beherbergen, um das System des Anwenders unbemerkt mit Schadsoftware zu infizieren. Cyberkriminelle müssen dadurch nicht mehr zum Drücken des "Gefällt mir"-Knopfs animieren oder zum Installieren einer App überreden. Vielmehr genügt es schon, den Besuch einer Seite durch geschickte Anreize unwiderstehlich zu machen. Denn allein damit wird die ganze Kette in Gang gesetzt, um den angegriffenen Rechner unter Kontrolle zu bringen und für kriminelle Zwecke zu missbrauchen.
Facebook wurde informiert
Selbstverständlich verpflichtet Facebook Entwickler auf einen Verhaltenskodex, der solche Machenschaften ausschließt. Doch was nützt das bei Cyberkriminellen? Wäre das nicht ein bisschen so, als würde man einem notorischen Raser mit dem Entzug seines Führerscheins drohen wollen? Ich habe Facebook über dieses Problem in der neuen Funktionalität informiert und werde über die Reaktion des Unternehmens auf meinem Blog berichten, sobald sie mir vorliegt.
Über Rik Ferguson
Rik Ferguson ist "Director Security Research & Communication EMEA" bei Trend Micro. In dieser Position konzentriert er sich auf die Erforschung neuer Bedrohungen, besonders im Social-Networking-Bereich. Gleichzeitig ist Ferguson, der über mehr als 17 Jahre Erfahrung in der IT-Sicherheit verfügt, Sprecher des Unternehmens für die EMEA-Region sowie Autor des Blogs "CounterMeasures: a Trend Micro blog".
Rik Ferguson ist "Certified Ethical Hacker", der im Unternehmensauftrag legale Tests mit den Mitteln und Vorgehensweisen eines richtigen Hackers ausführt.
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Trend Micro, einer der international führenden Anbieter für Internet-Content-Security, richtet seinen Fokus auf den sicheren Austausch digitaler Daten für Unternehmen und Endanwender. Als Vorreiter seiner Branche baut Trend Micro seine Kompetenz auf dem Gebiet der integrierten Threat-Management-Technologien kontinuierlich aus. Mit diesen kann die Betriebskontinuität aufrechterhalten und können persönliche Informationen und Daten vor Malware, Spam, Datenlecks und den neuesten Web Threats geschützt werden. Die flexiblen Lösungen von Trend Micro sind in verschiedenen Formfaktoren verfügbar und werden durch ein globales Netzwerk von Sicherheits-Experten rund um die Uhr unterstützt.
Zahlreiche Trend Micro-Lösungen nutzen das Trend Micro? Smart Protection Network?, eine wegweisende Cloud-Client-Infrastruktur, die für den Echtzeit-Schutz vor aktuellen und neuen Bedrohungen innovative, Cloud-basierende Reputationstechnologien und Feedback-Schleifen mit der Expertise der TrendLabs-Forscher kombiniert. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
phronesis PR GmbH
Marcus Ehrenwirth
Ulmer Straße 160
86156
Augsburg
ehrenwirth(at)phronesis.de
0821-444800
http://www.phronesis.de/
Datum: 14.02.2011 - 16:15 Uhr
Sprache: Deutsch
News-ID 348135
Anzahl Zeichen: 3764
Kontakt-Informationen:
Ansprechpartner: Peter Höger
Stadt:
Hallbergmoos
Telefon: 0811-88990811
Kategorie:
New Media & Software
Meldungsart:
Anmerkungen:
Diese Pressemitteilung wurde bisher 628 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Facebook: Neue Sicherheitslücke durch JavaScript?"
steht unter der journalistisch-redaktionellen Verantwortung von
Trend Micro Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Hallbergmoos, 23. Mai 2017 - Laut einer aktuellen Studie von Trend Micro, einem der weltweit führenden Anbieter von IT-Sicherheitslösungen, gehen drei Viertel der Unternehmen (76 Prozent) davon aus, dass fortschrittliche IT-Sicherheitstechniken sie zunehmend im weltweiten Kampf gegen Cyber-Bedrohu
Trend Micro weist gezielte Cyber-Angriffe auf deutsche und französische Politik nach ...
Hallbergmoos, 25. April 2017 - Trend Micro stellt heute einen neuen Report vor, der die Vorgehensweise der Hacker-Gruppe Pawn Storm analysiert und ihre Ziele verdeutlicht. Trend Micro beschreibt darin aktuelle Cyber-Angriffe auf die CDU-nahe Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung,
Trend Micro weist gezielte Cyber-Angriffe auf deutsche und französische Politik nach ...
Trend Micro stellt heute einen neuen Report vor, der die Vorgehensweise der Hacker-Gruppe Pawn Storm analysiert und ihre Ziele verdeutlicht. Trend Micro beschreibt darin aktuelle Cyber-Angriffe auf die CDU-nahe Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, die der SPD nahe steht, sowie
Weitere Mitteilungen von Trend Micro Deutschland GmbH
Rundum Sorglos-Paket für den Deerberg Online-Shop ...
Pünktlich zum 25-jährigen Jubiläum hat Deerberg ihre Kunden mit einem neuen Online-Shop überrascht. Neben dem umfassenden "Face-Lifting" der Shopoberflächen wurde auch die technische Basis erneuert und das Serviceangebot des Webshops gemeinsam mit der getit deutlich ausgebaut. Die tec
CouponClub.eu jetzt in Deutschland, Spanien, United Kingdom und Italien präsent ...
Berlin, den 14.2.2011: Ab dem heutigen Tag hat das grosse kostenlose Gutscheinverzeichnis für Europa unter http://www.CouponClub.eu ebenfalls für italienische Gutscheine, Rabatte und Gratisaktionen geöffnet. Nunmehr können die Besucher von CouponClub.eu in Deutschland, Spanien, United Kingdom un
Rundum Sorglos-Paket für den Deerberg Online-Shop ...
Pünktlich zum 25-jährigen Jubiläum hat Deerberg ihre Kunden mit einem neuen Online-Shop überrascht. Neben dem umfassenden ?Face-Lifting? der Shopoberflächen wurde auch die technische Basis erneuert und das Serviceangebot des Webshops gemeinsam mit der getit deutlich ausgebaut. Die technische B
MicroStrategy unterstütztüber 40.000 mobile iPhone-Benutzer mit einer 8-CPU-Serverkonfiguration ...
MicroStrategy® Incorporated (Nasdaq: MSTR), ein führender weltweiter Anbieter von Business Intelligence-Software (BI), gab heute die Benchmarkergebnisse für mobile BI-Anwendungen bekannt: MicroStrategy unterstützt demnach mit einer 8-CPU-Konfiguration rund 42.000 aktive iPhone-Benutzer bei einer
