Facebooks beskedsystem indeholder et kæmpe hul, der kan udnyttes af ondsindede personer til at sende falske beskeder fra en hvilken som helst Facebook-konto til andre intetanende Facebook-brugere.
"Man kan nemt sende phishing-links til folk fra en helt anden person end dig selv. Det kunne jeg eksempelvis udnytte til at sende phishing-links fra kendte mennesker til ganske almindelige mennesker," fortæller den danske udvikler Jesper Kampmann.
Det er blandt andet lykkedes Jesper Kampmann at sende en besked direkte fra Facebook-boss Mark Zuckerberg til sin egen konto. Men i princippet kan Jesper Kampmann uden problemer sende en besked fra en hvilken som helst af Facebooks 1,5 milliarder brugere til sin egen eller andres konti.
Men det store sikkerhedshul har ikke fået alarmklokkerne til at ringe hos verdens største sociale medie, der ikke vil løse problemet.
Sendte besked fra Facebook-bossen
I sommer lykkedes det Jesper Kampmann at sende en falsk besked fra selveste Mark Zuckerberg til sin egen Facebook-konto.
Jesper Kampmann rettede henvendelse direkte til Facebook for at gøre dem opmærksom på problemet. Siden er det da også blevet umuligt at sende falske beskeder fra Mark Zuckerberg, mens hullet stadig står pivåbent for alle andre Facebook-profiler.
"Da jeg fandt sårbarheden, rapporterede jeg det til Facebook, som var meget opsat på at få det fikset. Jeg sendte en beskrivelse af, hvordan man gjorde," siger Jesper Kampmann og fortsætter:
"Jeg ventede fire uger, hvorefter jeg fik et svar, som gik på, at Facebook var bekendt med fejlen i forvejen, og at fejlen ikke kunne rettes, da Facebook ikke kan sikre den rigtige identitet ved afsendelse af e-mails."
Billedet stammer fra august, hvor det endnu var muligt at udgive sig for at være Facebook-bossen. Beskeden er sendt som en falsk besked fra Mark Zuckerberg til Jesper Kampmanns egen konto.
Udvikler: Her er problemet
Facebooks beskedsystem er grundlæggende bygget op som en almindelig mail-server og benytter sig af en god gammeldags smtp-server, fortæller Jesper Kampmann.
"Jeg fandt fejlen ved at lege med Facebook's SMTP-server. Hullet består af, at man kan sende beskeder til alle - fra en hvilken som helst person, så længe du kender deres e-mail-adresse."
Folk, der ønsker at udnytte Facebooks sårbarhed, skal derfor blot sørge for at kende den e-mailadresse, som brugerne benytter sig af på Facebook, og disse oplysninger er ikke svære at finde.
"E-mailadressen kan du som regel altid finde på Facebook-brugernes profiler," siger han.
Den danske udvikler håbede på at få fingre i en af de dusører, som Facebook uddeler til personer, som finder fejl på virksomhedens hjemmeside.
"Det er svært at få firmaerne til at betale dusørerne, når deres sikkerhed udstilles, da mange tænker, at der ikke er sket noget endnu, hvorfor skal jeg sikre mig så?" mener Jesper Kampmann, der til daglig arbejder med onlineprojekter fra hjemmet i Odense.
Facebook: Det er ikke vores skyld
Hos Facebook erkender man, at det er muligt at sende de falske beskeder, men virksomheden mener ikke, at der kan gøres noget for at løse problemet.
"Spørgsmålet er relateret til et kendt SMTP-problem, snarere end det er et spørgsmål om Facebook," skriver Facebook's nordiske pressekontakt, Jan Fredriksson, der arbejder i den svenske virksomhed Northern Link PR.
Selv om Facebook lægger alt ansvaret over på SMTP-protokollens mangler, er virksomheden tilsyneladende i gang med at undersøge mulighederne for at ændre systemet.
"Vi samarbejder med industrien for at udvikle bedre standarder og praksis til at lukke disse huller. Vi minder alle vores brugere om at være forsigtige, når de modtager en besked fra en ukendt eller ikke-godkendt kilde," skriver Jan Fredriksson.
Her er Facebooks svar til Jesper Kampmann
Nedenfor ser du hele Facebooks svar, som virksomheden sendte til Jesper Kampmann, da han rettede henvendelse omkring sikkerhedsbristen. Igen skyder virksomheden sit eget ansvar til hjørne ved at referere til kendte problemer med SMTP-protokollen.
"> I sincerely apologize for the delay in updating here; we've been making some changes to our backend ticket management processes, and some reports had fallen through the cracks during the transition. We're working to ensure that all open reports are now updated accordingly.
> > Unfortunately, I think we had a bit of a misunderstanding here. The ability to deliver unauthenticated messages is a core "feature" of how SMTP email operates. Essentially, email messages are spoofable by design. Facebook products that integrate with SMTP validate the authenticity of email messages whenever possible (with SPF, DKIM, and/or DMARC). In the absence of these authentication signatures, Facebook will display a visible warning to the user indicating that the sender of the message could not be verified.
> > More information is available here: https://www.facebook.com/help/200366226674864/
> This is a threat we're well aware of and are always on the lookout for ways to improve it, but we can't simply patch SMTP."
Problemerne klæber sig til Facebook
Sikkerhedsproblemerne klæber sig i øjeblikket til det sociale medie. For mindre end én måned siden fik virksomheden udstillet et andet graverende sikkerhedshul.
Også dengang havde virksomheden modtaget henvendelse omkring sikkerhedsbristen uden at foretage opstramninger af system, og hackeren valgte derfor at udstille hullet ved at lave en falsk status-opdatering, der gav sig ud for at være fra Mark Zuckerberg selv.
Sådan kan systemet misbruges
Jesper Kampmann har udarbejdet sit eget script, der gør det enkelt for ham at sende en besked fra en intetanende Facebook-bruger til en anden konti på det sociale medie.
Ved at ændre to parametre i adressefeltet i browseren kan Jesper Kampmann hurtigt definere, hvem scriptet skal sende sin falske besked til, og hvad selve teksten i beskeden skal være.
For at ændre modtageradressen ændrer Jesper Kampmann parameteren 'f' øverst i adressefeltet. I dette tilfælde sender han beskeden til en Facebook-bruger, der har oprettet sin konto med en Gmail-adresse.
Selve beskeden, som brugeren modtager, er defineret med variablen 't'. I dette tilfælde sendes denne besked "Vi siger hej: http://test.dk"
Hvis en ondsindet person udnyttede samme sårbarhed i Facebook, kunne beskeden eksempelvis sendes med et link til en hjemmeside, som indeholder malware eller andet skadeligt indhold.
Blot ét par sekunder efter at Jesper Kampmanns script har udført afsendelsen, tikker e-mailen ind på den Facebook-konto, som er valgt som modtager-adresse. I dette tilfælde er det Jesper Kampmanns egen konto, der er blevet brugt i forsøget, men en hvilken som helst anden profil kan udvælges som modtager.
Scriptet bruges igen til at udsende en besked. Denne gang har Jesper Kampmann valgt at sende en besked til en af Facebooks egne e-mailkonti fra en hotmail-konto. Denne gang er beskeden til ofret 'Multi spam'.
Jesper Kampmanns tester sårbarheden i systemet ved at kontrollere flere forskellige Facebook-konti, så hans forsøg kan efterprøves med det samme.
Beskeden dukker frem kort efter.
Læs også:
