ELEXPRESS.de |

Nachdem ich mich gewundert habe, warum einige Kontakte auf Facebook Links zu einer komischen Seite ohne nennenswerter Funktion verbreiteten, habe ich den Quellcode der betreffenden Seite genauer analysiert und herausgefunden wie diese sicherlich ungewollten Linkweiterempfehlungen zustande kamen.

Durch eine geschickte Anwendung verschiedener HTML Elemente und CSS Styles wird der Facebook Button so manipuliert, sodass ein Klick irgendwo auf der Seite ausreicht um ein “Like it” auszulösen.

Die verwendeten Auszeichnungs- und Darstellungstechniken via HTML und CSS funktionieren in absolut jedem Browser und die Lücke an sich lässt sich auch mit deaktiviertem Java Script ausnutzen.

Es handelt sich nicht um eine auf Facebook begrenzte Clickjacking Lücke und sie lässt sich für jegliche Anwendungen ausnutzen, wo direkt nach einem oder mehreren Klicks irgendetwas passiert. Die Clickjacking Sicherheitslücke existiert, weil die Browser verschiedene aufeinanderfolgende Styledefinitionen zwar technisch gesehen korrekt interpretieren, aber somit auch ein Clickjacking Schlupfloch ermöglichen.

Ich werde hier keinen Scriptkiddies eine Steilvorlage zum Nachmachen geben, daher an dieser Stelle keine weiteren technischen Details. Einigen Browserherstellern habe ich bereits eine Info mit weiteren technischen Details zugeschickt.