De fleste av oss har vel opplevd at i alle fall noen andres Facebook-konto har blitt kapret på et vis og har begynt å distribuere meldinger med oppfordringer til uheldig atferd, for eksempel å besøke nettsteder som distribuerer skadevare.
Nå skal Facebook ha fjernet en sårbarhet som skal ha gjort det mulig for uvedkommende eller skadevare å endre enhver melding sendt med Facebook Online Chat eller Messenger-appen, uten at avsenderen merker noe.
- Leste du denne? Facebook gir Microsoft konkurranse om chatbot-ene
Avgjørende ID
Det er uklart om denne sårbarheten har blitt utnyttet tidligere. Men ifølge sikkerhetsselskapet Check Point, som skal ha oppdaget sårbarheten, skal den både ha vært enkel å utnytte og ha flere potensielle bruksområder.
Det hele er knyttet til en spesiell identifikator, «message_id», som hver melding er utstyrt med. En angriper kunne ifølge Check Point finne denne identifikatoren ved sende en spørring til en gitt webadresse.
Ved å bruke ID-en, kunne angriperen kontrollere chat-en og endre eller slette meldinger fra en bruker. I videoen nedenfor demonstreres disse mulighetene, som skal ha blitt fjernet av Facebook tidligere denne måneden.
– Ved å utnytte denne sårbarheten kunne kyberkriminelle endre hele chat-tråden uten at offeret har innsett dette. Det som er verre, er at hackeren kunne implementere automatiseringsteknikker som kontinuerlig kunne endre chat-innhold på lang sikt, ved å narre sikkerhetstiltak, uttaler Oded Vanunu, sjef for produktsårbarhetsforskningen hos Check Point, i en pressemelding.
Han berømmer Facebook for rask respons.
Potensielle muligheter
Check Point trekker fram flere eksempler på hvordan slik modifisering av samtalene kan brukes i forbindelse med blant annet svindel. Mange, også virksomheter, bruker i dag Facebook i den daglige kommunikasjonen med andre. Med mulighet til å endre meldingshistorikken i det skjulte, kan man for eksempel hevde at visse løfter ikke ble gitt.
I likhet med annen kommunikasjon, kan det som skrives via Facebooks tjenester bli brukt som juridisk bevis. Med sårbarheten skal det ha vært mulig for en angriper å skjule bevis eller å plante falske bevis mot uskyldige.
I tillegg, som man har sett talløse eksempler på, er det mange som klikker ukritisk på lenker de mottar i meldinger fra venner og kjente, noe som er en svært effektiv måte å spre skadevare på.
- Facebook i retten: Kan bli nektet å sende europeiske brukerdata til USA
