Facebook Exploit: Facebook Attach EXE Vulnerability
von C. Schell
Wußten Sie, dass man über den Facebook "Nachrichten" Tab eine Datei an jeden User verschicken kann? Ja?!
Wußten Sie auch, dass Facebook es normalerweise verbietet, eine Exe-Datei zu verschicken? Ja ?!
Und wußten Sie auch, dass man diese Sicherheitsabfrage leicht umgehen kann, um beispielsweise das System eines Opfers zu kompromittieren?
Quelle securitypentest:
When attaching an executable file, Facebook will return an error message stating:
"Error Uploading: You cannot attach files of that type."When uploading a file attachment to Facebook we captured the web browsers POST request being sent to the web server. Inside this POST request reads the line:
Content-Disposition: form-data; name="attachment"; filename="cmd.exe"
It was discovered the variable 'filename' was being parsed to determine if the file type is allowed or not.
To subvert the security mechanisms to allow an .exe file type, we modified the POST request by appending a space to our filename variable like so:
filename="cmd.exe "
Zu guter Letzt möchte ich noch eins klarstellen:
Ich bin nicht "contra" Facebook eingestellt! Sicherlich habe ich bezüglich "Facebook und Datenschutz" eine negative Einstellung, dennoch finde ich die Idee hinter den Sozialen-Netzwerken positiv. Was ich allerdings von Facebook und deren Nutzern fordere, ist ein bewußter Umgang bezüglich der Veröffentlichung von privaten Daten (Äußerungen, Fotos, etc.) und dem kommen meiner Meinung nach viele Nutzer (aus Unwissenheit oder Leichtsinnigkeit) und die Betreiber solcher sozialen Netzwerke nicht nach!
Daraus folgt auch, dass den Betreibern - meiner Meinung nach - eine stärkere Aufklärungspflicht zu Teil kommt und dass sie dieser nicht zu Genüge gerecht werden:
- Facebook (stellvertretend für die Sozialen Netzwerke) mag für die Nutzer ein Soziales-Netzwerk sein, für die Betreiber ist es allerdings in erster Linie eine Marketing-Goldgrube!
- Soziale Netzwerke werden von Firmen dazu genutzt, um mehr über z.B. potentielle Bewerber herauszufinden (ein Foto, das einen besofffen in der Ecke liegend zeigt, verfolgt einen ein Leben lang)
- Facebook, Google und Yahoo stellen Schnittstellen für die US-Geheimdienste bereit und sind demzufolge auch eine Art Bespitzelungsmaschinerie!
- Facebook-Cookies speichern nicht nur Daten der Facebookseite, sondern ebenfalls Informationen die über Facebook hinhausgehen (Surfgewohnheiten etc.)
- ...