(Update) Unsaubere Apps posten Pornostatusbeiträge auf Facebook

Seit Tagen bekommen wir die Meldung, dass bekannte Games (Apps) wie Candy Crush, Criminal Case, Diamond Digger Sage, Bubble Witch usw. entweder Pornografische- oder dubiose Statusbeiträge auf Facebook posten.

Nach einer ersten Analyse dürfte es sich hierbei um unsaubere Apps / Games handelt. Wenn auch du betroffen bist, dann entferne bitte diese Apps aus deinen Einstellungen und installiere diese erneut. (Wir bleiben an der Sache dran und erweitern ggf. diese Bericht)

Diese Statusbeiträge können so aussehen:

Man erkennt hier, dass hier die unsaubere Version der “CriminalCase” App angeblich was gepostet hat. Die App postet “im Namen des Users” diesen Statusbeitrag zu einer Pornografischen Seite. Zugleich markiert diese unzählige User.
Danke an Kathi, die uns den Screen zur Verfügung gestellt hat.

Hier ein weitere Statusbeitrag, der wie in diesem Falle von der unsauberen Version von “Candy Crush Saga” gepostet wurde:

UPDATE 24.03.2015

Wir haben in den letzten Stunden die Postings und die damit verbundenen Apps weiter getestet!

Techniker und Programmierer meinen:

Wir wir mittlerweile feststellen konnten, liegt der Fehler nicht – wie zunächst zu vermuten – in den Apps selbst, sondern woanders.

Auf einem Weg, der uns noch nicht im Detail klar ist, wird das sogenannte Access-Token des betroffenen Nutzers geklaut. Dieses wird beim Einloggen in Facebook erstellt und fungiert quasi als eine Art Schlüssel für Apps, um bei Facebook im Namen des Nutzers zu agieren.
Das Access-Token könnte z.B. durch eine Methode namens „Cross-Site-Scripting“ (XSS) geklaut worden sein. Mit diesem so ergatterten Schlüssel werden dann die Beiträge an der Pinnwand erstellt.
Einen Artikel, wie man als Angreifer an dieses Token kommt, indem man den Nutzer dazu bringt Code auszuführen, haben wir hier geschrieben.

Der Token-Klau läuft hier jedoch anders ab. Wie genau, konnten wir bisher leider nicht nachvollziehen. Die betroffenen Nutzer müssen aber noch nicht einmal irgendetwas bewusst getan haben oder dies irgendwie bemerkt haben.

Was kann ich dagegen tun?

Es ist prinzipiell damit getan, sich von Facebook ab- und wieder anzumelden. Beim Einloggen wird dieses Token neu generiert, das alte, geklaute Token ist damit dann ungültig und der Spuk hat ein Ende. Theoretisch.

Aber: Uns ist im Moment noch nicht ganz klar, wie der Token genau geklaut wurde. Hier gibt es eine ganze Reihe von Möglichkeiten, die wir allerdings nicht näher untersuchen können, ohne selbst Zugriff auf einen Betroffenen PC mit einem solchen kompromittierten Account zu haben.

Solange die Quelle des Übels, also der „Dieb“ selbst nicht unschädlich gemacht wurde, nützt das Ab- und wieder Anmelden natürlich nur sehr kurzfristig etwas, nämlich genau so lange, bis der Schädling das neu generierte Token wieder entwendet hat.

Hier könnt ihr uns helfen!

Aller Wahrscheinlichkeit nach handelt es sich bei dem Übeltäter um einen Trojaner / Malware / bösartige Browsererweiterung oder etwas in dieser Richtung. Wir empfehlen einen Scan mit einem entsprechenden Anti-Malware-Tool. (Links weiter unten)

Wer also betroffen ist, sollte den Rechner mit den entsprechenden Tools scannen und würde uns ein gutes Stück bei der Recherche weiterhelfen, wenn er uns die Logdatei des Scans oder einen Screenshot von dem Ergebnis an [email protected] zukommen ließe.

Auch ein aktueller Virenscanner erkennt nicht immer diese speziellen Malwaretypen, die bei so etwas zum Einsatz kommen. Eine Kombination aus Virenscanner und Malwarescanner ist daher generell anzuraten, bzw. schadet es generell nichts, bei „seltsamem Verhalten“ des Rechners / Browsers einmal einen solchen Scan laufen zu lassen.

Folgende Scanner eignen sich u.A. für die Suche. Wenn der erste nichts findet, bitte ruhig einmal mit dem nächsten einen Scan durchführen, nicht jeder Scanner erkennt alles.

• Malwarebytes Anti-Malware Free (Hier bitte nicht von den auffälligeren „Upgrade“-Buttons beirren lassen und einfach die „Free“ Version herunterladen.)
• Spybot – Search & Destroy (Einer der „Klassiker“ in Sachen Malwarejagd mit einer sehr hohen Erkennungsrate.)

Sobald wir weitere Informationen zu dem Fall haben, werden wir den Artikel umgehend aktualisieren um Euch auf dem Laufenden zu halten und sichere Abhilfe bieten zu können.

 

Allgemeiner Hinweis und Anleitung zu Apps und Games auf Facebook!

Viele Spiele erwarten mittlerweile eine Verbindung mit eurem Facebook-Profil und teilen dann euren Freunden euren Fortschritt mit oder bitten um einen Klick auf einen Link um euch in diesem zu Helfen.

In der folgenden Anleitung ist der Name der App symbolisch durch „[App-Name]“ ersetzt worden.

Wenn eine App sich mit eurem Facebook-Profil verbinden möchte erscheint ein Dialog wie dieser:

In diesem werden euch bereits angezeigt welche Berechtigungen das Spiel oder die App von euch in Facebook erwartet.

Im ersten Schritt erhält die App allerdings hier noch keine Berechtigung an eurer Chronik zu posten. Dies wird euch von Facebook unten mit dem Schloss und dem Text „Dadurch kann die App nicht auf Facebook posten.“ mitgeteilt.

Hier werden also vorerst nur die reinen Lesezugriffe geregelt. Diese könnt ihr im Detail nochmals einstellen wenn ihr auf den Link „Von dir angegebene Infos bearbeiten“ anklickt.

Es erscheint daraufhin eine Auflistung mit allen detailliert angefragten Berechtigungen und welche Daten das jeweilige Programm dadurch von euch erfährt:

Die blassen blauen Haken können nicht entfernt werden. Hier handelt es sich um euer öffentliches Profil.

Hier greifen dann die normalen Privatsphäreeinstellungen was öffentlich in eurem Profil über euch eingesehen werden kann. Also euer Name, Alter, Geburtstag, Geschlecht etc.

Die dunkleren blauen Haken könnt ihr entfernen und der App damit die Berechtigung auf die angeforderten Daten verweigern.

Manche Apps setzen gewisse Berechtigungen voraus und werden euch im Falle einer solchen Verweigerung den zuvor ausgeführten Schritt nicht fortsetzen lassen. Spätestens dann solltet ihr euch nochmals fragen ob ihr die gewünschte Funktion wirklich im Spiel oder der App benötigt.

Sobald dieser Schritt abgeschlossen ist, werdet ihr eventuell gebeten der App weitere Berechtigungen zum Schreiben auf eurer Chronik oder zum Posten von Veranstaltungen oder Verwalten eurer eigenen Facebook-Seiten zu erteilen.

Im Falle der Schreibberechtigung für eure Chronik sieht der Dialog dann wie folgt aus:

Hier wird nochmals der Name der App angezeigt (fett geschrieben). Unterhalb der Anzeige, dass die App auf eurer Chronik posten möchte erscheint eine Auswahl.

Hier könnt ihr die Privatsphäre der Posts einstellen, die durch die App erzeugt werden. In diesem Fall steht die Auswahl auf „Freunde“.

Diese Einstellung lässt sich jedoch durch einen Klick auf die Box anpassen, daraufhin stehen weitere Optionen wie „Öffentlich“, „Nur ich“ oder „Benutzerdefiniert“ zur Verfügung. Bei Benutzerdefiniert können spezielle Freundeslisten ausgeschlossen oder explizit eingeschlossen werden, wer dann die Beiträge sehen kann.

Wir empfehlen jedoch bei Apps, denen ihr das Posten an eurer Chronik nicht erlauben wollt hier keine Auswahl zu treffen, sondern den Dialog mit „Jetzt nicht“ zu schließen. Die jeweilige App erhält dann zwar Zugriff auf die im ersten und zweiten Bild aufgelisteten Daten, kann dann aber eure Chronik nicht mit lästigen Posts versehen.

Im Nachhinein lassen sich in Facebook Applikationen komplett alle Berechtigungen entziehen, indem ihr rechts oben auf das Icon mit dem Schloss klickt und daraufhin links unten auf „Weitere Einstellungen anzeigen“.

Ihr landet daraufhin auf der Einstellungsseite von Facebook, in der jede Menge Optionen zur Verfügung gestellt werden.

In diesem Zusammenhang ist der Menüpunkt „Apps“ im linken Bereich der Seite wichtig:

Sobald ihr auf diesen geklickt habt, erscheint eine Liste aller Facebook-Apps, denen ihr Berechtigungen erteilt habt.

Wenn ihr über eine dieser Apps mit der Maus fahrt, erhaltet ihr zwei vorher nicht sichtbare Buttons.

Der Stift nachträglichen Bearbeiten der Berechtigungen und das „X“ zum Löschen der App aus eurem Account, damit hat die App dann keine Berechtigungen mehr mit eurem Account auf Facebook-Daten zuzugreifen.

Wir empfehlen in diesem Bereich ab und zu einen „Frühjahrsputz“ zu machen.

Über die Zeit sammelt sich hier doch einiges an, das womöglich gar nicht mehr benötigt wird.

Autor: Tom und Christian, mimikama.org