Web Datenschutz Schell Um klar zu sehen, genügt oft ein Wechsel der Blickrichtung.

Facebook Exploit: Facebook Attach EXE Vulnerability

03.11.2011 14:42 von Christian Schell | Kommentar schreiben

Wußten Sie, dass man über den Facebook "Nachrichten" Tab eine Datei an jeden User verschicken kann? Ja?!

Wußten Sie auch, dass Facebook es normalerweise verbietet, eine Exe-Datei zu verschicken? Ja ?!

Und wußten Sie auch, dass man diese Sicherheitsabfrage leicht umgehen kann, um beispielsweise das System eines Opfers zu kompromittieren?

 

Quelle securitypentest:

When attaching an executable file, Facebook will return an error message stating:

"Error Uploading: You cannot attach files of that type."

When uploading a file attachment to Facebook we captured the web browsers POST request being sent to the web server. Inside this POST request reads the line:

Content-Disposition: form-data; name="attachment"; filename="cmd.exe"

It was discovered the variable 'filename' was being parsed to determine if the file type is allowed or not.

To subvert the security mechanisms to allow an .exe file type, we modified the POST request by appending a space to our filename variable like so:

filename="cmd.exe "

Zu guter Letzt möchte ich noch eins klarstellen:

 

Ich bin nicht "contra" Facebook eingestellt! Sicherlich habe ich bezüglich "Facebook und Datenschutz" eine negative Einstellung, dennoch finde ich die Idee hinter den Sozialen-Netzwerken positiv. Was ich allerdings von Facebook und deren Nutzern fordere, ist ein bewußter Umgang bezüglich der Veröffentlichung von privaten Daten (Äußerungen, Fotos, etc.) und dem kommen meiner Meinung nach viele Nutzer (aus Unwissenheit oder Leichtsinnigkeit) und die Betreiber solcher sozialen Netzwerke nicht nach!

Daraus folgt auch, dass den Betreibern - meiner Meinung nach - eine stärkere Aufklärungspflicht zu Teil kommt und dass sie dieser nicht zu Genüge gerecht werden:

  • Facebook (stellvertretend für die Sozialen Netzwerke) mag für die Nutzer ein Soziales-Netzwerk sein, für die Betreiber ist es allerdings in erster Linie eine Marketing-Goldgrube!
  • Soziale Netzwerke werden von Firmen dazu genutzt, um mehr über z.B. potentielle Bewerber herauszufinden (ein Foto, das einen besofffen in der Ecke liegend zeigt, verfolgt einen ein Leben lang)
  • Facebook, Google und Yahoo stellen Schnittstellen für die US-Geheimdienste bereit und sind demzufolge auch eine Art Bespitzelungsmaschinerie!
  • Facebook-Cookies speichern nicht nur Daten der Facebookseite, sondern ebenfalls Informationen die über Facebook hinhausgehen (Surfgewohnheiten etc.)
  • ...

Zurück

Datenschutz Blog

  • IP-Adressen trotz VPN herausfinden

    Firefox und Chrome verraten ihre IP-Adressen trotz Virtual Private Network (VPN). Schuld daran ist die WebRTC-Implementierung - es gibt jedoch Abhilfe.

  • Facebook ändert Nutzungsbedingungen

    Menschen wollen sich im Netz präsentieren und "soziale" Kontakte pflegen - das ist ein ganz natürliches Verlangen. Doch will man dafür seine Privatsphäre aufgeben? Facebook ändert heute Nacht seine Nutzungsbedingungen! D.h.: Rausgehen lohnt sich - jetzt mehr denn je!

  • Windows 8 Administrator Passwort vergessen?

    Eine kurze Anleitung, wie man unter Windows 8 ein vergessenes Administrator Passwort zurücksetzen kann. Im Grunde genommen steckt dahinter nur die utilman.exe, welche man von außen durch cmd.exe ersetzt, um damit wiederum das Passwort zu ändern.

  • Tor-Nutzer werden von der NSA als Extremisten überwacht

    Wer sich im Internet mit Anonymisierung beschäftigt, also zum Beispiel nach den Tools "Tails" oder "Tor" sucht, wird bei der NSA als "Extremist" bespitzelt. Das geht laut NDR und WDR aus dem Quelltext der NSA-Software XKeyscore hervor.

  • Snowden: Die Deutschland-Akte

    Die jüngsten Veröffentlichungen der Snowden-Akten beweist: Nirgendwo in Europa ist die NSA so aktiv wie in Deutschland. Der Spiegel veröffentlicht dutzende von Dokumenten aus dem Archiv von Edward Snowden, welche Details der Spionage offenbaren - und die Kooperation mit den Deutschen beweisen.

Besucher

  • Gesamt: 2543743
  • Heute: 92
  • Online: 3

Zitat

"The only thing neccessary for the triumph of evil is for good men to do nothing"
Edmund Burke

eBooks:

  • Überwachtes Netz. Edward Snowden und der größte Überwachungsskandal der Geschichte

  • Hrsg.:

    Markus Beckedahl, Andre Meister
  • Inhalt:

    Der Sammelband reflektiert den NSA Überwachungsskandal und schaut nach Vorne.
  • Download: PDF, AZW3, EPUB
  • Angezapft. Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung

  • Autor:

    Rainer Rehak
  • Inhalt:

    Die Diplomarbeit verdeutlicht, dass der staatliche Einsatz von Trojaner-Software sich schon per Definition weder technisch noch gesetzlich beschränken lässt.
  • Download: PDF
  • Strategische Auslandsüberwachung: Technische Möglichkeiten, rechtlicher Rahmen und parlamentarische Kontrolle

  • Autor:

    Dr. Stefan Heumann, Dr. Thorsten Wetzling
  • Inhalt:

    Eine interessante Studie über einen zweifelhaften rechtlichen Rahmen geheimdienstlicher Tätigkeiten.
  • Download: PDF