Szerző: Dojcsák Dániel

2010. július 15. 12:55

Vigyázz! Észre sem veszed, és lopott kattintással lájkolsz

A Facebook tartalommegosztó és összekapcsoló rendszere kiterjesztette csápjait a teljes webre. Ma már bárki helyezhet el “Tetszik” vagy “Ajánlom” gombot weboldalán, s a felhasználók kényelmesen fejezhetik ki szimpátiájukat, s továbbíthatják a tartalmat a közösségi oldalon belülre. A lehetőséget persze ártó szándékkal is fel lehet használni.

Az úgynevezett “Clickjacking”, azaz kattintáslopás nem új keletű, a rosszindulatú reklámoldalak gyakran éltek a lehetőséggel, hogy a felhasználók akaratlanul is lefuttassák a káros kódokat, ahelyett, hogy a remélt meztelen nős képeket kapták volna. A Facebook már  átlépte a félmilliárd felhasználós határt, így első számú célpontjává vált a rosszindulatú támadásoknak is. A felhasználók itt jóval figyelmetlenebbek, az ismerősök által küldött linkekre disztingválás nélkül kattintanak, így a rések kihasználásával gyakorlatilag digitális pestisként viselkedhet egy egyszerűbb oldal is.

Tetszik, nem tetszik, kattintani fogsz

Az Eric Kerr által felfedett trükk ráadásul nem is bonyolult, bárki képes reprodukálni. A tartalomba láthatatlanul be kell ágyazni a Tetszik gombot és le kell futtatni egy egyszerű JavaScriptet, ami mindig az egérkurzor alatt tartja a gombot, persze láthatatlanul. Amikor a felhasználó bárhova kattint a weboldalon, akkor megosztja a linket a Facebookon. Elegendő, ha csak az ismerősök közül néhány tucat téved be ennek hatására a linkre, s máris elindult egy vírusos terjedés.

Magán a weboldalon a felhasználó semmit nem vesz észre a Tetszik gomb megnyomásából és a megosztásból, mindössze a Facebook aktivitásfolyamába kerül bele az esemény, s csak arra lehet maximum figyelmes, hogy a Fontos Hírek folyamban hirtelen sokak jelölik tetszetős tartalomnak az adott weboldalt. A rutinosabb netezők esetleg észlelhetik, hogy megváltozik a kurzor, hiszen az folyamatosan egy link felett lesz, így a nyíl helyett az ujj ikon mozog majd körbe. Ha ez valakinek nem szúr szemet, akkor szinte biztosan áldozatául esik a trükknek.

Művészi magasságok

Tovább is lehet fokozni, hiszen böngésző sütik használatával fel lehet ismerni azt a felhasználót, aki korábban járt már ott, nála már nem feltétlenül kell lefuttatni a folyamatot újra. Elképzelhető az is, hogy a Tetszik gomb megnyomása után az iFrame eltűnjön és az oldalon való navigálás normális állapotba álljon vissza. Ezzel pedig végkép el lehet altatni a gyanút, s szinte biztos, hogy a felhasználók legnagyobb része nem is észleli, hogy egyáltalán történt valami. Igaz ez utóbbi csak Internet Explorer és Firefox alatt működik, Google Chrome alatt nem, mert ott a biztonsági megoldások nem teszik lehetővé.

Korábban a Twitter is szenvedett hasonló problémáktól, de ott könnyen áthidalták azzal, hogy az iFrame-ből érkező megosztásokat kiszűrték. A Facebook esetében viszont ez nem lehetséges, hiszen a Tetszik gomb önmagában is egy iFrame, tehát a közösségi szolgáltató oldaláról nem mutatható ki a különbség.

Próbáld ki biztonságosan!

A támadás tényleg teljesen egyszerű, bárki képes reprodukálni egyetlen perc alatt. A HWSW demó céllal, Eric Karr prezentációja nyomán, az alábbi linken be is mutatja, hogy miről van szó. A link megnyomása után megjelenik a rejtett Tetszik gomb, azzal a különbséggel, hogy itt szándékosan látható lesz, illetve 10 másodperc után eltűnik, ezt követően minden visszatér a rendes kerékvágásba. Ha a 10 másodperc alatt valaki kattint a weboldalon, akkor a Facebookon ajánlja ismerőseinek a cikket, ez tetszés szerint a balra lent található igazi gombbal visszavonható.

Kattints ide a demóhoz!

Május 18-19-én biztonságos szoftverfejlesztés és Scrum újdonságaira fókuszáló meetupokat rendezünk, 2 nap alatt összesen 10 klassz előadással.

a címlapról