Nie mehr wichtige Faktenchecks verpassen!
Melden Sie sich für unseren WhatsApp-Channel, die Smartphone-App (für iOS und Android) oder unseren Newsletter an und erhalten Sie alle Faktenchecks und Updates sofort. Einfach anmelden, immer einen Schritt voraus!


Durch eine erst unentdeckte Sicherheitslücke beim Facebook-Messenger war es theoretisch möglich Nutzer*Innen über nicht selbstgetätigte Sprachanrufe abzuhören.

Eine gravierende Sicherheitslücke ist nun bei der Android-Version des Messengers  bekannt geworden. Anscheinend war es Hackern möglich Nutzer*Innen abzuhören, in dem sie jene unbemerkt anriefen. Das Problem will Facebook nun mit einem Update beheben.

Probleme beim Messenger zeigten sich in der Echtzeitkommunikation

Die Geschichte kam jedoch laut dem IT-Magazin golem nicht durch Facebook selbst, sondern dank Natalie Silvanovich raus. Die Sicherheitsforscherin bei Googles Project Zero entdeckte die Lücke beim Messenger und wies Facebook daraufhin. Ihr war aufgefallen, dass die Lücke in der Implementierung der WebRTC-Verbindung liegt.

WebRTC meint Echtzeitkommunikationsmöglichkeiten, wie Zugriffe auf Kamera oder Mikrofon, aber auch Videoanrufe oder Bildschirmfreigaben. Das Open-Source-Projekt ist laut Anbieter für alle gängige Browser verfügbar und auch für kleinere Apps nutzbar.

[mk_ad]

Nun gab es hier jedoch ein Problem wie Silvanovich herausfand. Denn bei einer WebRTC-Verbindung kann der Anruf auch durch eine SDP-Nachricht (Session Description Protocol) beginnen, ganze ohne, dass der oder die Angerufene im Messenger interagieren muss.

Dem Internetmagazin zdnet zufolge erklärt Silvanovich das Problem selbst so: „Es gibt einen Nachrichtentyp, der nicht für den Verbindungsaufbau, SdpUpdate, verwendet wird. Wenn diese Nachricht an das Gerät des Angerufenen gesendet wird, während es klingelt, veranlasst es das Gerät, sofort mit der Audioübertragung zu beginnen, was es einem Angreifer ermöglichen könnte, die Umgebung des Angerufenen zu überwachen.“

Laut golem gibt es aber bestimmte Bedingungen für einen „erfolgreichen“ Angriff. Zum Einem müsse die Möglichkeit bestehen, die angegriffene Person beispielsweise durch eine Facebook-Freundschaft via Messenger anzurufen, zum anderen muss gegeben sein, dass diese sowohl im Messenger als auch in einem Browser bei Facebook angemeldet ist. Das Problem soll aber nun durch das neue Update von Facebook behoben worden sein.

Für die Entdeckung der Lücke gibt es einen sogenannten Bug Bounty

Als Belohnung für ihre Entdeckung erhielt Silvanovich 60.000 Dollar von Facebook. Die Zahlung ist aber an sich keine Besonderheit, sondern gehört zum Bug Bounty Programm des Unternehmens. Wenn man einen Bug entdeckt, den Facebook betrifft, kann man innerhalb der Research Community diesen dem Unternehmen melden. Laut Facebook seien seit 2011 über 130.000 Meldungen eingegangen, davon waren 6.900 im Auge des Unternehmens belohnungswürdig.

Die Zahlung an Silvanovich gehört zu den bisher drei höchsten Belohnung. Doch behält sie das Geld laut zdnet nicht selbst, sondern spendet es der Plattform GiveWell, die Charity-Organisationen nach ihrer Spendeneffizienz bewertet.

[mk_ad]

Noch mehr News zum Messenger:

Achtung vor dieser Video-Nachricht im Facebook-Messenger!

Die Tricks der Betrüger: Du bekommst eine Nachricht auf Facebook, öffnest diese und erschrickst. Du siehst deinen Vornamen und dahinter steht: „Ich glaube ich habe dich in diesem Video gesehen“. Mehr Hier.


Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:

📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.

Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!

* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!


Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)