Vor vier Monaten hatten zwei Sicherheitsforscher eine Sicherheitslücke im Flash-Applet von Facebook entdeckt, mit dem Videos aufgenommen und hochgeladen werden können (z.B. in den mobilen Apps): https://vupload.facebook.com/video/?record (entfernt).
Über eine präparierte Website, in die das Applet eingebunden war, konnten sie Videos aufnehmen und an Facebook schicken, sodass diese automatisch auf der Timeline geteilt werden.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Es genügte hierbei, wenn der Besucher noch bei Facebook eingeloggt war - ein spezielles Token o.ä. war nicht nötig.
Die Umsetzung der Forscher benötigte jedoch noch einen Klick auf den Aufnahme-Button; eine unbemerkte Aufnahme wäre jedoch ebenfalls umsetzbar.
Mitte letzter Woche hat Facebook die Lücke endlich geschlossen.
Quelle: heise.de