• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
WWDC 2016 - Die Top 5 der geklauten iOS 10 Feature ...

von Sascha Pallenberg

Next Story
Die besten kostenlosen Rennspiele für iOS und Andr ...

von Antonia Seitz

Facebook Messenger: Privat geteilte Links sind nicht privat

Eigentlich keine Überraschung, aber man sollte es sich merken und auch anderen erzählen: Private Chats in Facebook sind nicht so privat, wie manch einer denkt und dort geteilte Links können von anderen gesehen werden.

von Carsten Dobschat am 14. Juni 2016
  • Email
  • @dobschat

„Why you shouldn’t share links on Facebook“ titelt Inti De Ceukelaire in seinem Blogpost zum Thema „Links im Facebook Messenger“. Inti De Ceukelaire sucht nach Fehlern in Systemen und das schon seit 1995 (oder wie er es selbst formuliert: „Breaking stuff since 1995“). Nun ist er auf etwas gestossen, was er als Fehler, Facebook jedoch als Feature bezeichnet. Beides kann zutreffend sein, es ist wie so oft nur eine Frage des Standpunktes.

Es dreht sich hierbei darum, wie Facebook mit Links umgeht. Wenn jemand einen Link zum ersten Mal auf Facebook postet, dann besucht der Crawler von Facebook diesen Link und holt sich die Informationen dazu: Vorschaubild, Beschreibungstext usw. – eben alle Daten, die dazu gehören und die teilweise ja auch mit viel Aufwand von Seitenbetreibern optimiert werden. Diese Informationen schreibt Facebook dann in seine Datenbank und wenn der Link weitere Male gepostet wird, dann werden einfach nur die Daten aus der Datenbank geholt. Soweit, so praktisch.

Das Problem beginnt hier: Facebook behandelt an dieser Stelle per Messenger geteilte Links wie jeden anderen über Facebook veröffentlichten Link. Die ganzen Link-Informationen landen in der selben Datenbank. Das alleine wäre noch nicht schlimm, würde Facebook Entwicklern nicht Zugriff auf diese Datenbank geben. Zwar ist dieser Zugriff eingeschränkt und als Entwickler sollte man auch nur auf Inhalte Zugriff haben, auf die man auch über die Facebook-Oberfläche zugreifen kann, aber bei Links wird das mit dem Zugriffsschutz nicht ganz so eng genommen zu werden. Wenn der Link in der Datenbank steht, dann kann jeder über die Objekt-ID die Adresse zu diesem Link abfragen. Wenn man nun ein Skript schreibt, dass einfach mal anfängt Objekt-IDs darauf zu prüfen, ob es sich um einen Link handelt und diese Adressen dann sammelt, dann kann man auf diesem Weg also auch an Links kommen, die gar nicht öffentlich geteilt wurden, sondern nur im Messenger weitergegeben wurden.

Facebook Links abgreifen

Facebook stellt sich nun auf den Standpunkt, dass es ein Feature wäre und kein Bug und man würde erkennen, wenn jemand in größerem Umfang URLs abgreifen würde. Dieser Meinung kann man natürlich sein, aber man muss sie nicht teilen. Inti De Ceukelaire teilt diese Meinung nicht, er sieht in diesem Umgang einen Bug und ich bin durchaus geneigt, ihm da zuzustimmen. Aber ändern könnte dieses Vorgehen nur Facebook, d.h. es ist nicht mit einer Änderung zu rechnen, so lange man das dort als Feature und nicht als Bug sieht. Und auch die Zusicherung, man würde Missbrauch erkennen und unterbinden kann nicht wirklich beruhigen – wer weiß, wie viele private Adressen jemand abgreift, bevor die Alarmglocken bei Facebook schrillen? Vor allem, da Wege bekannt sind, die Mechanismen zu umgehen, mit denen Facebook „exzessiven Gebrauch“ der API verhindert: Man verwendet mehrere Access Tokens, verteilt sich virtuell auf verschiedene Standorte per VPN oder man hat eben einfach Geduld.

Facebook Ein Feature kein Bug

Immerhin findet man auf dem Weg ja nicht nur Links, sondern auch andere interessante Informationen:

In this small set of extracted URL’s, I’ve already found some interesting info:

  • Names: Heather, Jenny, Paula, Yollanda, Bernardo, …
  • Location or language
  • Attachments or pictures from the FB CDN: direct link that sometimes allow access bypassing privacy restrictions
  • Application or game data: some parameters are friend_level, friend_chips, user_name, group, steal_amount, …
  • Secret links or hidden keys: such as the editable Google Drive links or links to hidden pages, websites and beta environments

Jetzt müssen wir uns nicht mehr darüber unterhalten, dass Informationen, die man bei Facebook oder anderen Netzwerken postet eben im Zweifel öffentlich werden können, egal welche Einstellungen man für die Sichtbarkeit wählt. Alter Hut, daran sollte jeder denken. Was aber in Anbetracht der in diesem Beispiel gefundenen Adressen zu bedenken ist: Der Facebook Messenger ist ein Teil von Facebook und die dort ausgetauschten Nachrichten sind technisch auch nur eine spezielle Art von Postings. Auf diesem Weg geteilte Links können auch öffentlich werden. Wer sich früher schon mit der Facebook API beschäftigt hat oder einfach in Sachen Schutz der eigenen Daten etwas intensiver nachdenkt und -forscht, den wird das jetzt nicht überraschen. Einige von diesen Menschen werden das jetzt nur als einen weiteren Beleg für die Gefahr durch die „Datenkrake Facebook“ sehen. Aber es gibt ganz offensichtlich immer noch Menschen, die glauben, dass Chats via Facebook Messenger wirklich privat wären. Nö, sind sie im Zweifel nicht. Und übrigens: Es gibt auch keine Cloud, sondern nur anderer Leute Computer…

Ich erinnere mich gerade an verschiedene Links, die ich auf dem Weg so bekommen habe (zum Beispiel zu Vorab-Versionen kommender Alben, die erwähnten Google Docs, Testseiten…), die dann gerne von einem Satz wie „Aber nicht weitergeben, ist nur für dich“ begleitet wurden. Nächstes Mal habe ich die passende Antwort: „Muss ich nicht weitergeben, hast du schon gemacht…“ ;)

Heiss diskutiert
Die besten Apps für euer iPhone und iPad (Januar 2021)
von Felix Baumann
Die besten Apps für euer iPhone und iPad (Januar 2021)
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
von Michael Sprick
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
von Michael Sprick
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
WhatsApp stellt User bei Datenschutz vor Ultimatum
von Michael Sprick
WhatsApp stellt User bei Datenschutz vor Ultimatum
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Security
Ähnliche Artikel
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
19. Januar 2021
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
18. Dezember 2020
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
16. November 2020
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
21. September 2020
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
Die besten Apps für euer iPhone und iPad (Januar 2021)
von Felix Baumann
Die besten Apps für euer iPhone und iPad (Januar 2021)
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
von Michael Sprick
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
von Michael Sprick
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
WhatsApp stellt User bei Datenschutz vor Ultimatum
von Michael Sprick
WhatsApp stellt User bei Datenschutz vor Ultimatum
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten