DeepSec: Falsches Vertrauen in Facebook-Freunde

Im Netz sollte man generell nicht zu vertrauensseelig sein. Das gilt gleichermaßen für Nutzer wie für Unternehmen. Um diese Aussage zu beweisen, hat sich der IT-Sicherheitsforscher Ashar Javed von der Universität in Bochum 50 populäre Social Media-Websites näher angesehen. Javed probierte dabei aus, ob es ihm gelingt, sich mit einfachen Mitteln Zugriff zu Passwörtern von Nutzern zu erschleichen und deren Profile zu übernehmen. Er konnte.

"Passwort verloren"

Von den 50 Social Networks gelang es ihm bei sieben – und zwar mit relativ einfachen Mitteln, ohne großes technische Know-How. Er gab sich einfach als Nutzer eines bestimmten Profils aus und schickte eine Support-Anfrage an das Team mit dem Betreff: „Passwort verloren“ und der Bitte, ihm ein Neues zuzusenden. Sieben Netzwerke kamen dieser Bitte nach, ohne seine Identität und seine Anfrage zu hinterfragen. „Erschütternd ist, dass sechs Unternehmen gar nicht reagiert haben, als ich sie mit diesem Sicherheits-Faux-Pas konfrontiert habe. Auch auf meine zweite E-Mail bekam ich keine Antwort“, erzählte Javed bei der Sicherheitskonferenz DeepSec in Wien.

Auf der DeepSec kommen seit jeher weltweit renommierte Sicherheitsexperten von Universitäten, Regierungen und der Industrie zusammen, um sich über das „Leben im global vernetzten Dorf“ auszutauschen. Javed ist einer von zahlreichen Speakern, rund 160 Personen besuchen die Konferenz, die noch bis Freitag Abend im Imperial Riding School Renaisscance Vienna Hotel im 3. Bezirk läuft.

Javed spricht in seinem Vortrag auch über die „Trusted Friends“-Attacke, die er auf Facebook verübt hat. „Bei Facebook funktioniert die Methode, die ich bei den anderen Netzwerken angewandt habe, nicht. Dafür gibt es das Trusted Friends-Prinzip, das Facebook im Oktober 2011 eingeführt hat, um die Sicherheit des Netzwerkes zu erhöhen.

"Trusted Friends" manipulierbar

Doch auch das „Trusted Friends“-Prinzip von Facebook lässt sich laut Javed überlisten. Auf Facebook geht es vielen Nutzern nämlich darum, möglichst viele Freunde zu sammeln. Viele Nutzer akzeptieren daher auch Personen als Freunde, die sie gar nicht persönlich aus dem „echten Leben“ kennen. Javed legte drei Facebook-Profile an, befreundete sich mit seinen 250 „echten“ Freunden, um die Attacke zu erproben. Das Ergebnis: Er konnte elf Accounts übernehmen.

„Ich habe dieses Problem an Facebook gemeldet. Derzeit gibt es allerdings keine Lösung dafür, man muss damit leben“, so Javed, der gerade die Übernahme von Facebook-Profilen für besonders schlimm hält. „Facebook dient für viele als Single-Sign-On-Account bei anderen Diensten. User loggen sich mit ihrem Facebook-Profil zur Identifikation bei vielen anderen Services ein. Das heißt, dass dann nicht nur ein Profil betroffen ist, sondern viele.“

Dem Problem Abhilfe schaffen kann man laut Javed nur, wenn sich User bewusst werden, was sie im Netz im Generellen und auf Facebook im Speziellen tun und wen sie in ihre Freundesliste aufnehmen und wen besser nicht. Vertrauen will auch im Netz verdient sein.