Nachdem ich mich gewundert habe, warum einige Kontakte auf Facebook Links zu einer komischen Seite ohne nennenswerter Funktion verbreiteten, habe ich den Quellcode der betreffenden Seite genauer analysiert und herausgefunden wie diese sicherlich ungewollten Linkweiterempfehlungen zustande kamen.

Durch eine geschickte Anwendung verschiedener HTML Elemente und CSS Styles wird der Facebook Button so manipuliert, sodass ein Klick irgendwo auf der Seite ausreicht um ein „Like it“ auszulösen.

Die verwendeten Auszeichnungs- und Darstellungstechniken via HTML und CSS funktionieren in absolut jedem Browser und die Lücke an sich lässt sich auch mit deaktiviertem Java Script ausnutzen.

Es handelt sich nicht um eine auf Facebook begrenzte Clickjacking Lücke und sie lässt sich für jegliche Anwendungen ausnutzen, wo direkt nach einem oder mehreren Klicks irgendetwas passiert. Die Clickjacking Sicherheitslücke existiert, weil die Browser verschiedene aufeinanderfolgende Styledefinitionen zwar technisch gesehen korrekt interpretieren, aber somit auch ein Clickjacking Schlupfloch ermöglichen.

Ich werde hier keinen Scriptkiddies eine Steilvorlage zum Nachmachen geben, daher an dieser Stelle keine weiteren technischen Details. Einigen Browserherstellern habe ich bereits eine Info mit weiteren technischen Details zugeschickt.

Social Media Marketing Statistiken & Beratung (SMM) »Statistiken zum Social Media Marketing: Warum nutzen Unternehmen Social Media und warum ist eine Social Media Strategie so wichtig? Kostenlose Erstberatung zur Social Media Strategie & Social Media Werbung anfordern!

ELEXPRESS.de Tipp: Kostenlose Online Marketing Tools wie z.B. ein Google Adwords Keyword Generator, ein SEO Webseiten Quick-Test inkl. Besucher Prognose, Social Signals Check oder auch Mod_Rewrite Generator z.B. für 301 Redirects und Keyword Density & Text Analyse Werkzeug.