You Are Reading

Facebooks Passwort Wiederherstellung ermöglicht einfaches Knacken von Konten

Facebook wird immer mehr zu dem, was früher die Email war. Der sicherheitstechnisch betrachtet verwundbarste Punkt. Man hört immer öfter von Viren die nicht mehr den Rechner, sondern das Facebook Profil sperren und so versuchen Geld zu erpressen. Das ist eigentlich auch sinnvoller aus der Sicht eines Skrippt-Kiddies, da man einen Rechner in der Regel schnell wieder aufgesetzt hat. Alle seine Freunde, Fotos und Private Nachrichten sind allerdings ein Gut,  auf welches man selten bereit ist zu verzichten und deshalb lieber zahlt.

Deshalb sollte gerade Facebook nur dem Besitzer seines Profiles Zugang gewähren. Das ist bei Facebook allerdings nicht der Fall. Jeder der ein bisschen was von social engineering versteht hat die Möglichkeit jedes Facebook Konto eines Bekannten in kürzester Zeit zu übernehmen. Wie das geht beschreibe ich nun:

Die Schwachstelle

Facebook bietet die Funktion sein Passwort zurück zu setzen, ohne Zugriff auf die Email Adresse zu haben. Man benötigt allerdings die Email Adresse des Opfers. Mit dieser und einem falschen Passwort versucht man sich einzuloggen. Diese Funktion ermöglicht mehrere Angriffe. Leider kann man vorneweg nicht sagen welchen man durchführt. Es scheint als ob Facebook viele Methoden besitzt um den Benutzer zu Authentifizieren. Ich habe bisher 2 Feststellen können.

Funktion 1: Freunde nach einem Sicherheitscode fragen

Diese Funktion basiert darauf, dass man 3 Freunde angibt. Welche, das ist egal. Diese Freunde können ebenfalls vom Angreifer gewählt werden.

Wenn diese Freunde ausgewählt wurden, bekommen diese einen Sicherheitscode zugeschickt. Diesen muss man nun erfragen.

Das Problem an dieser Stelle ist offensichtlich. Man benötigt nur 2 Komplizen wenn man mit der Person befreundet ist. Das schlimme daran ist. Es ist theoretisch möglich diesen Vorgang automatisiert auszunutzen. Wenn mann bereits eine bestimmte Masse an Konten hat, dann wäre es möglich Automatisch weitere Freunde zu übernehmen, in dem man immer bereits gehackte Accounts nutzt.


Funktion 2: Die Sicherheitsfrage

Die Funktion der Sicherheitsfrage ist mein absoluter Favorit, sie zeigt nicht nur wie einfach es ist ein Konto zu übernehmen, sondern verrät auch etwas über Facebook selbst.

Ich habe die Funktion nun bei mehreren Freunden getestet und sie mit eingeweiht. Die Fragen waren nie schwer. Häufig sind es solche Fragen wie:

"Wo hast du mit 13 Jahren gewohnt?"
"Wie hieß dein erstes Haustier?"
"Wie hieß deine Lehrerin in der 5. Klasse?"
"Wo wurde deine Mutter geboren?"

Das Problem an diesen Fragen ist folgendes:

Weder ich noch einer meiner Freunde haben jemals solch eine Frage beantwortet. Zum Teil wussten diese nicht einmal die Antworten!?

Das muss bedeuten das Facebook auch keine konkreten Antworten dazu hat. Nun habe ich 2 Theorien:

Die Erste: Facebook speichert bestimmte Dinge die man in Chats etc schreibt und verknüpft diese logisch miteinander um eine Frage zu stellen. Von diesen Begriffen gibt es viele. Also für eine Stadt (Geburtsort) zum Beispiel Mainz, Frankfurt etc. 

Wenn Facebook meine Antwort nun irgendwo in meinen Daten findet, wird es schon richtig sein.

Die Zweite Vermutung: Facebook sammelt Daten die Sie gar nicht Sammeln dürften.
Das Beispiel der Mutter, die Mutter der Person hatte kein Facebook, somit konnte Facebook diese 2 Personen nicht miteinander verknüpfen. Ebenso wie die Straße, die Person war sich zu 100% sicher, dass er diese Daten niemals mit Facebook geteilt hat. Wie also kann Facebook die richtige Antwort kennen? Meiner Meinung nach muss Facebook andere, externe Daten crawlen, oder habt ihr noch eine Idee?


Als nächstes steht das Passwort ändern an:
Bei ca 40% der Konten hätte ich darauf hin das Passwort ändern können. Bei den anderen wären höchstens ein paar Telefonate nötig gewesen um die Informationen zu bekommen.


Außerdem gab es vereinzelnd auch Fälle, bei denen nach dem ändern des Passwortes, Vorschläge über das alte Passwort gemacht worden sind. Eines davon war das Passwort der Email Adresse, welche im Freundefinder benutzt worden ist. Dieses wird laut Facebook aber nur temporär benutzt und nicht gespeichert. Was wohl die Datenschützer dazu sagen würden...


Mein Fazit:

Abmelden. Was anderes fällt mir im Moment nicht ein, da vermutlich auch die 2 Wege Authentifizierung daran kaputt geht.

Comments for this entry

Leave your comment

 

Copyright 2014. All rights reserved.

About

Modern Clix Theme