我不喜欢 - Facebook ClickJacking和跟踪屏幕游标

10:30 et,2013年11月8日

误导脚本以增加数量“I like”和追踪屏幕光标的侵入性技术正在威胁 Facebook users.

这  社交媒体 是金钱机器,私营公司,政府和政府的利益  网络犯罪  正在呈指数增长。安全专家正在观察令人惊叹的趋势,越来越多的科目是花费努力商业化 广告活动 and sell “likes”关于利用边界方法的主要社交平台。

最近的数据包“Likes” are sold in the  地下  价格高于那些 信用卡,这是一个加强犯罪活动的多产业务 社交网络。很容易在互联网消息上找到,提出服务以提高社交媒体的可见度是短时间,遵循用于促进业务的典型陈述:

“你想增加你的受欢迎程度吗?””您是否希望为您的Facebook个人资料增长喜欢的人数?”

达到目标的肮脏方法非常漫长,黑客用来隐藏“I like”当用户使用鼠标滚动隐藏内容时,按钮以简单的方式迫使动作。 Facebook用户只需点击登录到Facebook,他们会自动  喜欢  Facebook页面,这个简单的动作使得可以与受害者分享信息在页面上发布的信息,IT新闻稿,当然所有受害者’我的朋友会被通知他  喜欢  the page.

滥用社交插件  喜欢按钮  结合CSS隐藏和JS移动允许攻击者增加他们的页面的喜欢。

技术细节:

诸如按钮通常嵌入包装器div中(例如ID =”wrapper”在下图中,包含Facebook的Iframe的元素  喜欢  a button.

1

当用户在父元素上移动鼠标时<div id=”wrapper”>,在大多数情况下<body>标签,调用匿名javascript函数,该函数修改了鼠标下的包装器的CSS。

2

隐藏存在  喜欢  按钮包装器是透明的,在CSS属性中正确设置:

  • 不透明度:0;
  • 过滤器:alpha(opacity = 0);
  • -ms-filter:'progid:dximagetransform.microsoft.alpha(opacity = 0)';

在野外中可用的以下示例中,代码很容易识别,安全专家认为将来更多 混淆技巧 将由攻击者实施以隐藏诀窍。

根据Virustotal提供的数据,称为JS的行为:ClickJack- *具有非常低的检测率,门户网站提供的示例是:

这种技术的恐吓滥用可以由链接到恶意域的链接的扩散来表示,攻击者可以传播链接 爆炸套件 在其他Facebook用户的新闻之前,并说服受害者点击它们 社会工程学.

另一个关于考虑到采用所描述的技术的FB用户的年龄,年轻人大量使用上述脚本来提高他们的普及  Facebook .

但是Facebook用户的威胁’T完成,启示  棱镜 棱镜监督计划披露了社会媒体巨头与NSA的合作,导致FB品牌在网民的信赖下降。 FB用户的地平线上的新乌云’  隐私 谣言在互联网上传播有关Facebook想要部署的新功能,社交网络平台正在测试一个允许它跟踪用户的新功能’S屏幕上的光标。用户移动光标和若干长度,Facebook将知道它,它也会看到用户的新闻源在其移动设备上的任何给定时刻是否可见 华尔街日报.

Facebook 的Analytics首席Ken Rudin宣布所获得的信息将以几乎无限的目的存储,包括产品开发或更精确的广告目标… Nothing more.

让’S提醒Facebook已经收集了有关其用户的令人印象深刻的数据,并具有技术归档和详细阐述它们的精致和高效的方式…我们真的想放弃我们的隐私吗?“carnivorous” network?

Facebook 将能够保护它们免受契约的政府要求和大胆的网络犯罪分子。

我们真的想放弃我们的隐私吗?“carnivorous” network?

我们必须准备好…社交媒体是黑客和窥探的天堂。

皮奈里格帕加尼尼

(安全事务  - Facebook,我喜欢脚本)
 RSA标志

 

 

 

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请