Datenschutz bei Facebook durch Cloaking-Angriffe gefährdet

Die Statistik ist überwältigend. Facebook hat rund 750 Millionen Nutzer, von denen sich die Hälfte täglich einloggt. Der durchschnittliche Nutzer hat 130 Freunde und verbringt täglich etwa 60 Minuten damit, im Netzwerk zu basteln.

Es ist kein Geheimnis, dass Facebook viele Kontroversen über den Datenschutz hatte und folglich das Netzwerk in den sieben kurzen Jahren seines Bestehens gezwungen war, seine Datenschutzeinstellungen viele Male zu ändern.

Diese Kontroverse soll weitergehen. Heute sagen Shah Mahmood und Yvo Desmedt vom University College London, dass sie eine Lücke in den Datenschutzeinstellungen von Facebook gefunden haben, die das anhaltende Stalken von Facebook-Nutzern auf eine Weise ermöglicht, die schwer zu erkennen und fast unmöglich zu stoppen ist.



Der Fehler entsteht, weil Facebook den Nutzern erlaubt, ihre Konten unbegrenzt und uneingeschränkt zu deaktivieren und zu reaktivieren. Während ein Konto deaktiviert ist, können die mit diesem Konto verknüpften Datenschutzeinstellungen nicht geändert werden.

Wenn Sie also jemanden anfreunden, damit dieser Ihre Inhalte sehen kann, und dieser dann sein Konto deaktiviert, können Sie die mit diesem Konto verknüpften Datenschutzeinstellungen nicht ändern, bis es wieder aktiviert wird (es sei denn, Sie wenden eine globale Änderung auf alle Ihre Freunde an).

Bei dem Angriff von Mahmood und Desmedt werden Leute gebeten, sich mit ihnen anzufreunden, und dann ihr Konto zu deaktivieren. Anschließend reaktivieren sie für kurze Zeit, überprüfen die Inhalte ihrer Freunde und deaktivieren den Account sofort wieder.

Das Konzept hier ist dem des Tarnens in Star Trek sehr ähnlich, wo Badass Blink oder Jem’Hadar sich enttarnen (sichtbar sein müssen), wenn auch nur für einen Moment, um das Feuer zu eröffnen, sagen sie.

Die einzige Möglichkeit, dies zu verhindern, besteht darin, gleichzeitig mit der Reaktivierung des Schnüfflers online zu sein und die Datenschutzeinstellungen zu diesem Zeitpunkt zu ändern oder die Datenschutzeinstellungen aller Ihrer Freunde oder der Freundesgruppe, in der sich der Angreifer befindet, zu ändern.

Mahmood und Desmedt testeten diese Art von Cloaking-Angriff über einen Zeitraum von 600 Tagen mit einem unter einem Pseudonym eingerichteten Facebook-Account. In den ersten 285 Tagen verschickten sie 595 Freundschaftsanfragen, von denen 370 angenommen wurden. Außerdem erhielten sie 3969 Freundschaftsanfragen, die sie akzeptierten, sodass sie insgesamt über 4000 Freunde hatten.

Sie gingen dann in den Cloaking-Modus, indem sie ihr Konto deaktivierten und ihre Freunde regelmäßig überprüften, indem sie sie nur für 10 Minuten reaktivierten, was lang genug ist, um Hunderte von Profilen zu durchsuchen und alle Aktivitäten zu verfolgen. Keiner unserer Freunde hätte uns in dieser Phase technisch entfreunden können, sagen sie.

Schließlich reaktivierten sie das Konto und ließen es 60 Tage lang inaktiv, um zu sehen, wie viele Leute sie entfreundet haben. In dieser Zeit haben 239 Menschen keine Freundschaften geschlossen, etwas mehr als 5 Prozent der Gesamtzahl.

Es gibt mehrere Gründe für die Annahme, dass dies eine potenziell schwerwiegende Art von Angriff ist. Verdeckte Angriffe sind schwer zu erkennen und noch schwerer zu stoppen. Darüber hinaus kann ein entschlossener Angreifer nicht nur Einzelpersonen, sondern auch die Verbindungen zwischen ihnen überwachen und wertvolle Einblicke in die Beziehung zwischen den Opfern gewinnen. Facebook hat kürzlich die Funktion 'Freundschaft durchsuchen' hinzugefügt, die Informationen wie das Datum, an dem sie Facebook-Freunde geworden sind, die Veranstaltungen, an denen sie beide teilgenommen haben, ihre gemeinsamen Freunde usw. anzeigt.

Sobald der Angreifer ein Freund des Opfers ist, ist es sehr wahrscheinlich, dass der Angreifer auf verborgene Weise unbegrenzten Zugriff auf die privaten Informationen des Opfers hat, sagen Mahmood und Desmedt. ,

Nach alledem sagen Mahmood und Desmedt, dass das Problem relativ einfach zu beheben sein sollte. Facebook könnte Ihnen zum Beispiel mitteilen, wenn ein Freund deaktiviert hat, und die Personen verfolgen, die regelmäßig deaktivieren und wieder aktivieren. Das Unternehmen könnte es auch ermöglichen, die Datenschutzeinstellungen von deaktivierten Freunden zu ändern.

Die Frage ist nur, wie schnell Facebook auf diese Bedrohung reagieren und damit den wachsenden Katalog an Änderungen an seinen Datenschutzfunktionen ergänzen wird.

Ref: arxiv.org/abs/1203.4043 : Dein Facebook deaktivierter Freund oder ein getarnter Spion

Update: 23. März 2012

Facebook sendet über eine PR-Agentur folgendes Statement:

Anfang dieser Woche beschrieb ein Team von Sicherheitsforschern einen theoretischen Fehler in unserer Benutzeroberfläche; Benutzer konnten bisher deaktivierte Konten nicht entfreunden. Wir haben schnell daran gearbeitet, dieses Problem zu beheben, und konnten innerhalb von 48 Stunden nach Erhalt dieser Berichte eine Änderung an unserer Benutzeroberfläche bereitstellen.

Wir wissen zwar alle Bemühungen zu schätzen, die zum Schutz von Facebook geleistet wurden, haben jedoch einige berechtigte Bedenken hinsichtlich dieser Studie des University College London. Wir waren enttäuscht, dass uns dies nicht durch unsere Richtlinie zur verantwortungsvollen Offenlegung mitgeteilt wurde und gegen unsere Bedingungen verstößt. Wir ermutigen die gesamte Sicherheits-Community, unser White-Hat-Programm zu nutzen, das Forschertools und Fehlermeldekanäle bereitstellt. Darüber hinaus ermutigen wir die Nutzer wie immer, sich nur mit Personen zu verbinden, die sie tatsächlich kennen, und verdächtiges Verhalten zu melden, das sie auf der Website beobachten.

verbergen