Szertelen Gerjedelem

Az, hogy mi van előttünk, vagy mögöttünk, eltörpül amellett, ami (még) bennünk van!

HTML

aszir

Download Opera, the fastest and most secure browser

További oldalaim

Watch videos at Vodpod.

PR videóim

Friss topikok

2010.07.22. 09:25 kaposlogisztika

Vigyázz! Észre sem veszed, és lopott kattintással lájkolsz

A Facebook tartalommegosztó és összekapcsoló rendszere kiterjesztette csápjait a teljes webre. Ma már bárki helyezhet el “Tetszik” vagy “Ajánlom” gombot weboldalán, s a felhasználók kényelmesen fejezhetik ki szimpátiájukat, s továbbíthatják a tartalmat a közösségi oldalon belülre. A lehetőséget persze ártó szándékkal is fel lehet használni.

 

Az úgynevezett “Clickjacking”, azaz kattintáslopás nem új keletű, a rosszindulatú reklámoldalak gyakran éltek a lehetőséggel, hogy a felhasználók akaratlanul is lefuttassák a káros kódokat, ahelyett, hogy a remélt meztelen nős képeket kapták volna. A Facebook már  átlépte a félmilliárd felhasználós határt, így első számú célpontjává vált a rosszindulatú támadásoknak is. A felhasználók itt jóval figyelmetlenebbek, az ismerősök által küldött linkekre disztingválás nélkül kattintanak, így a rések kihasználásával gyakorlatilag digitális pestisként viselkedhet egy egyszerűbb oldal is.

Tetszik, nem tetszik, kattintani fogsz

Az Eric Kerr által felfedett trükk ráadásul nem is bonyolult, bárki képes reprodukálni. A tartalomba láthatatlanul be kell ágyazni a Tetszik gombot és le kell futtatni egy egyszerű JavaScriptet, ami mindig az egérkurzor alatt tartja a gombot, persze láthatatlanul. Amikor a felhasználó bárhova kattint a weboldalon, akkor megosztja a linket a Facebookon. Elegendő, ha csak az ismerősök közül néhány tucat téved be ennek hatására a linkre, s máris elindult egy vírusos terjedés.

Magán a weboldalon a felhasználó semmit nem vesz észre a Tetszik gomb megnyomásából és a megosztásból, mindössze a Facebook aktivitásfolyamába kerül bele az esemény, s csak arra lehet maximum figyelmes, hogy a Fontos Hírek folyamban hirtelen sokak jelölik tetszetős tartalomnak az adott weboldalt. A rutinosabb netezők esetleg észlelhetik, hogy megváltozik a kurzor, hiszen az folyamatosan egy link felett lesz, így a nyíl helyett az ujj ikon mozog majd körbe. Ha ez valakinek nem szúr szemet, akkor szinte biztosan áldozatául esik a trükknek.

Művészi magasságok

Tovább is lehet fokozni, hiszen böngésző sütik használatával fel lehet ismerni azt a felhasználót, aki korábban járt már ott, nála már nem feltétlenül kell lefuttatni a folyamatot újra. Elképzelhető az is, hogy a Tetszik gomb megnyomása után az iFrame eltűnjön és az oldalon való navigálás normális állapotba álljon vissza. Ezzel pedig végkép el lehet altatni a gyanút, s szinte biztos, hogy a felhasználók legnagyobb része nem is észleli, hogy egyáltalán történt valami. Igaz ez utóbbi csak Internet Explorer és Firefox alatt működik, Google Chrome alatt nem, mert ott a biztonsági megoldások nem teszik lehetővé.

Korábban a Twitter is szenvedett hasonló problémáktól, de ott könnyen áthidalták azzal, hogy az iFrame-ből érkező megosztásokat kiszűrték. A Facebook esetében viszont ez nem lehetséges, hiszen a Tetszik gomb önmagában is egy iFrame, tehát a közösségi szolgáltató oldaláról nem mutatható ki a különbség.

Próbáld ki biztonságosan!

A támadás tényleg teljesen egyszerű, bárki képes reprodukálni egyetlen perc alatt. A HWSW demó céllal, Eric Karr prezentációja nyomán, az alábbi linken be is mutatja, hogy miről van szó. A link megnyomása után megjelenik a rejtett Tetszik gomb, azzal a különbséggel, hogy itt szándékosan látható lesz, illetve 10 másodperc után eltűnik, ezt követően minden visszatér a rendes kerékvágásba. Ha a 10 másodperc alatt valaki kattint a weboldalon, akkor a Facebookon ajánlja ismerőseinek a cikket, ez tetszés szerint a balra lent található igazi gombbal visszavonható.

Kattints ide a demóhoz!

Az úgynevezett “Clickjacking”, azaz kattintáslopás nem új keletű, a rosszindulatú reklámoldalak gyakran éltek a lehetőséggel, hogy a felhasználók akaratlanul is lefuttassák a káros kódokat, ahelyett, hogy a remélt meztelen nős képeket kapták volna. A Facebook már  átlépte a félmilliárd felhasználós határt, így első számú célpontjává vált a rosszindulatú támadásoknak is. A felhasználók itt jóval figyelmetlenebbek, az ismerősök által küldött linkekre disztingválás nélkül kattintanak, így a rések kihasználásával gyakorlatilag digitális pestisként viselkedhet egy egyszerűbb oldal is.

Tetszik, nem tetszik, kattintani fogsz

Az Eric Kerr által felfedett trükk ráadásul nem is bonyolult, bárki képes reprodukálni. A tartalomba láthatatlanul be kell ágyazni a Tetszik gombot és le kell futtatni egy egyszerű JavaScriptet, ami mindig az egérkurzor alatt tartja a gombot, persze láthatatlanul. Amikor a felhasználó bárhova kattint a weboldalon, akkor megosztja a linket a Facebookon. Elegendő, ha csak az ismerősök közül néhány tucat téved be ennek hatására a linkre, s máris elindult egy vírusos terjedés.

Magán a weboldalon a felhasználó semmit nem vesz észre a Tetszik gomb megnyomásából és a megosztásból, mindössze a Facebook aktivitásfolyamába kerül bele az esemény, s csak arra lehet maximum figyelmes, hogy a Fontos Hírek folyamban hirtelen sokak jelölik tetszetős tartalomnak az adott weboldalt. A rutinosabb netezők esetleg észlelhetik, hogy megváltozik a kurzor, hiszen az folyamatosan egy link felett lesz, így a nyíl helyett az ujj ikon mozog majd körbe. Ha ez valakinek nem szúr szemet, akkor szinte biztosan áldozatául esik a trükknek.

Művészi magasságok

Tovább is lehet fokozni, hiszen böngésző sütik használatával fel lehet ismerni azt a felhasználót, aki korábban járt már ott, nála már nem feltétlenül kell lefuttatni a folyamatot újra. Elképzelhető az is, hogy a Tetszik gomb megnyomása után az iFrame eltűnjön és az oldalon való navigálás normális állapotba álljon vissza. Ezzel pedig végkép el lehet altatni a gyanút, s szinte biztos, hogy a felhasználók legnagyobb része nem is észleli, hogy egyáltalán történt valami. Igaz ez utóbbi csak Internet Explorer és Firefox alatt működik, Google Chrome alatt nem, mert ott a biztonsági megoldások nem teszik lehetővé.

Korábban a Twitter is szenvedett hasonló problémáktól, de ott könnyen áthidalták azzal, hogy az iFrame-ből érkező megosztásokat kiszűrték. A Facebook esetében viszont ez nem lehetséges, hiszen a Tetszik gomb önmagában is egy iFrame, tehát a közösségi szolgáltató oldaláról nem mutatható ki a különbség.

Próbáld ki biztonságosan!

A támadás tényleg teljesen egyszerű, bárki képes reprodukálni egyetlen perc alatt. A HWSW demó céllal, Eric Karr prezentációja nyomán, az alábbi linken be is mutatja, hogy miről van szó. A link megnyomása után megjelenik a rejtett Tetszik gomb, azzal a különbséggel, hogy itt szándékosan látható lesz, illetve 10 másodperc után eltűnik, ezt követően minden visszatér a rendes kerékvágásba. Ha a 10 másodperc alatt valaki kattint a weboldalon, akkor a Facebookon ajánlja ismerőseinek a cikket, ez tetszés szerint a balra lent található igazi gombbal visszavonható.

Kattints ide a demóhoz!

Szólj hozzá!

Címkék: érdekes facebook újdonság fontos érdekességek visszhang kaposlogisztika blogblogja


A bejegyzés trackback címe:

https://kaposlogisztika.blog.hu/api/trackback/id/tr982167978

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.