Hacker und Trojaner in Facebook-Apps und Twitter - Communities in Gefahr

An der Pinnwand der Facebook-Applikation Aquarium Life schreibt Andy T. verstört: "Bitte erzählt mir, wie ich mein Becken mit dem ganzen Zeug drin sehe", ebenso Nicolas A. "Das Spiel funktioniert bei mir nicht aus irgendwelchen Gründen." Bei City Fire Department sieht es nicht besser aus.Die Applikation lädt nicht. Doch hier hat es sich an der Pinnwand-Diskussion schon herumgesprochen: "Was ist da mit dem Virus?" (Ron C.) Keine Antwort dazu von den Entwicklern, die sprechen nur von "Issue" oder "Diagnostic Work".

Das verharmlost die Tatsachen deutlich, denn Sicherheitsexperte Roger Thompson von AVG hat in seinem Blog (thompson.blog.avg.com) aufgedeckt, was da bei einigen Facebook-Applikationen gerade schief läuft. Als betroffen nennt er neben den oben erwähnten: MyGirlySpace, Ferrarifone, Mashpro, Mynameis, Pass-it-on und Fillinthe. Diese Beispiele hat er gefunden, verseucht können durchaus noch mehr sein.

Böse Online-Spielchen

Dass Daten in sozialen Netzen wie Facebook, MySpace oder Lokalisten nicht sicher sind, ist nach den Datendiebstählen bei StudiVZ inzwischen den Anwendern bekannt. Doch die Sicherheitsprobleme gehen weitaus tiefer, denn die Bösewichte des Netzes nutzen Communities auf allen Ebenen des Online-Betrugs: Viren, Trojaner, Phishing, Spam, Identitätsdiebstahl, bis hin zum Knacken des Bankkontos. Sie machen es sich zunutze, dass das Opfer sich in vertrauter Umgebung weiß, unter Freunden, und keine Sauereien erwartet.

Die Vertrautheit geht so weit, dass gute Freunde an in Not geratene Facebook-Kontakte Geld überwiesen haben. In Wirklichkeit hatte aber ein Cracker ein Facebook-Konto geknackt, und einen Notruf an alle Kontakte gestartet: "Hilfe, ich bin in Russland, mein Portemonnaie ist gestohlen, bitte schickt mir Geld per Western Union!". Ein paar Tausend Euro waren nie wieder gesehen.

"Wir sind kurz davor, dass der Ort Nummer 1 für Infektionen vom Web zu Sozialen Netzen wechselt", schätzt Mikko Hypponen, Chef-Technologe bei der Sicherheitsfirma F-Secure. Im Fall des von Thompson aufgespürten Trojaners handelt es sich um eine handfeste Cracker-Attacke. Nicht die Entwickler der Applikationen versuchen sich hier zu bereichern, sondern sie sind selbst Opfer.

Die Cracker verstecken in der App einen Code, der über einen internen Frame (iframe) einen Trojaner nachlädt, der sich wiederum auf dem Rechner der Opfer installiert. Diese sehen ein Lizenzfenster des Adobe-Readers und starten mit Accept den Download. Die Seiten, von denen der Code nachgeladen wird, wechseln täglich, sind so also schwer zu sperren, und liegen alle in Russland. Auch der Trojaner an sich wechselt, je nach gewünschter Aufgabe: Spam versenden (Bot), andere Webseiten lahm legen (Denial-of-Service) oder Bankkonto-Knack.

Facebook ist von dieser Art von Angriffen besonders hart betroffen, weil sich die Umgebung dieser Community hervorragend dafür eignet. Es gibt eine Vielzahl an Applikation von Drittanbietern, die ungewöhnliche und überraschende Dinge tun. Das ist bei anderen Communities weniger der Fall. Und die Applikationen haben weit reichende Rechte, sie können auf alle, auch privat gestellte Informationen im Profil zugreifen.

Und, noch schlimmer, sie können auf alle, auch die privat gestellten, Informationen in den Profilen der verknüpften Freunde zugreifen. Eine Applikation bei einem meiner Kontakte darf alle meine Daten abrufen, kopieren und aus dem geschlossen Netz tragen. Schreibt ein Anwender beispielsweise gerne über seine orange Katze Leoni, so kennt ein Cracker die Mail-Adresse des Anwenders und den Namen besagten Tieres.

Ein Tiername dient aber oft auch als Antwort einer Sicherheitsabfrage des E-Mail-Kontos. Hat er sich so des E-Mail-Kontos bemächtigt, kann er sich und seine Toolz im Namen einer echten E-Mail-Adresse verbreiten, versehen mit echten Infos über Absender und Empfänger. Fatal bei einem gezielten Angriff auf eine Person oder Firma. Experten sprechen von Social Engineering. Facebook-Anwender finden keine differenzierten Einstellungsmöglichkeiten für Applikationen, nur alles oder nichts.

Die Rechte, einmal gewährt, gelten so lange, bis der Anwender sie zurückzieht, was selten geschieht. Die Erweiterungen dürfen ferner Nachrichten versenden und können sich selbst verbreiten. Jeder sollte also, wenn er mit einer App gespielt hat, dieser die Zugriffsrechte bald wieder entziehen. (Einstellungen/Anwendungseinstellungen, dann in der Liste Zeige: die autorisierten auswählen und mit dem X neben der jeweiligen Zeile deaktivieren.)

Wer sich bildlich vormachen lassen möchte, was mit Apps alles möglich ist, sollte die Anwendung What Do Quizzes Really Know About You? einmal aufprobieren (https://apps.facebook.com/aclunc_privacy_quiz).