Unsichtbare Gefällt-mir-Attacke

Immer wieder schreibe ich ja über Facebook. Bei dieser weit verbreiteten Plattform kommt es ja immer wieder zu seltsamen Vorkommnissen.

Jetzt kam es allerdings zu einer Attacke, für die Facebook nichts kann: Facebook leidet oder litt unter einer so genannten Clickjacking-Attacke. Was das ist und wie es funktioniert, dazu im Folgenden mehr.

Kennen Sie den Button „Gefällt mir“? Auf englischen Seiten heißt der „Like it“. Damit tut man als Facebook-Nutzer kund, dass es sich hierbei um Inhalt handelt, den man gut findet. Dabei kann der Button durchaus auch auf Seiten auftauchen, die nicht zu Facebook gehören.

Nun wurde festgestellt, dass genau dieser Button manipuliert und zweckentfremdet eingesetzt werden kann.

Mehrere hundertausend Facebook-Anwender sollen am vergangenen Wochende einer Clickjacking-Attacke zum Opfer gefallen sein und auf einer präparierten Seite unbewußt auf einen versteckten „Gefällt mir“-Button („Like“) geklickt haben. Das berichtet der Antivirenhersteller Sophos in seinem Blog.

Hat man auf diesen Button geklickt, der nicht der originale Button von Facebook ist, erschien auf Facebook die Statusmeldung (beispielsweise „User Noob likes LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.“) für den jeweiligen Nutzer, die auch andere Anwender sehen können. Klickt dann noch ein User auf den Status-Link, landet er ebenfalls auf der Clickjacking-Seite. Ähnliches ist bereits von Heise bekannt.

Wer hinter der Attacke auch immer steht, er hat Facebook-Like-Button in einem unsichtbaren iFrame nachgeladen. Da dieser unsichtbar war, klickten die Benutzer auf Elemente des iFrames. Sie nahmen natürlich an, gewünschte Inhalte anzuklicken.

Was genau der Sinn dieser Clickjacking-Attacke war, ist unklar. Prinzipiell könnten Kriminelle auf diese Weise sehr schnell Links zu präparierten Webseiten verteilen, die den Besuchern Trojaner unterschieben.

Verhindern lassen sich solche Attacken, indem der Webserver der vertrauenswürdigen Seite den Header-Zusatz: „X-FRAME-OPTIONS: DENY“ an den Browser sendet, um zu verhindern, dass die Seite (unsichtbar) in einem Frame dargestellt wird. Diese Option beherrschen jedoch nur die neuesten Browser wie Internet Explorer 8, Safari 4 oder Chrome 2. Firefox soll den Mechanismus erst in einer kommenden Version mitbringen.

Zwar sollen hochfrequentierte Seiten wie facebook.com, googlemail.com oder twitter.com inzwischen gegen Clickjacking geschützt sein, aber die Praxis sieht leider etwas anders aus. Vielmehr versuchen viele in iFrames ausgelieferte Seiten, sich über JavaScript gegen Clickjacking zu wehren. Selbstschutz bietet das NoScript-Plug-in für Firefox mit seiner ClearClick-Funktion.

Was Sie auch interessieren könnte:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.