Die Löschfunktion für alle Fotoalben in der mobilen Version der Facebook-App machte den Entwickler Laxman Muthiyah neugierig und so entdeckte er die Sicherheitslücke und meldete diesen Konfigurationsfehler bei Facebook.
Wegen diesem eigentlich relativ einfachen Fehlers, konnte über das Facebook-API beliebige Fotos und Alben gelöscht werden.
Facebook selbst hat den Fehler offenbar als sehr kritisch eingestuft
Die Sicherheitslücke wurde innerhalb von 2 Stunden nach der Meldung des Forschers behoben bzw. geschlossen, die es auch Unbefugten erlaubte, beliebige auf dem Social Network veröffentlichte Fotos zu löschen.
Für seine Entdeckung erhielt Laxman Muthiyah eine hohe Belohnung von Facebook.
In seinem Blog schreibt Muthiyah: “Jedes Foto-Album eines Nutzers, einer Seite oder einer Gruppe konnte gelöscht werden”. Er habe den Bug bei einer Analyse von Facebooks Graph-API gefunden.
Die Programmierschnittstelle gibt Entwicklern Zugriff auf Facebooks Daten. ”Eigentlich soll es die Graph-API nur dem Eigentümer erlauben, Fotos oder Alben einer Person zu entfernen.
Durch die Manipulation der Zugangs-Token auf seinem mobilen Gerät sei es ihm aber gelungen, Facebook davon zu überzeugen, dass er der Eigentümer der Bilder sei, ergänzte Muthiyah. Dadurch habe er Lese- und Schreibrechte erhalten und sei in der Lage gewesen, ganze Alben zu löschen.
„Theoretisch hätte er so sämtliche Fotos ALLER Facebook – Benutzer löschen können“
Ein Facebook-Sprecher bestätigte den Bug gegenüber dem Sicherheitsunternehmen Sophos.
Ihm zufolge erlaubt der Fehler aber nur das Löschen öffentlicher Fotos beziehungsweise von Bildern, die der Angreifer auch regulär öffnen konnte. Es sei nicht möglich gewesen, damit die Datenschutzeinstellungen zu umgehen und auch als privat eingestufte Fotos zu sehen oder gar zu manipulieren.
Autorin: Marlene, mimikama.org
FAKE NEWS BEKÄMPFEN
Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)
Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum
INSERT_STEADY_CHECKOUT_HERE
Mehr von Mimikama
Mimikama Workshops & Vorträge: Stark gegen Fake News!
Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.