Ένας ερευνητής ασφαλείας τυχαία ανακάλυψε την μέθοδο με την οποία επιτήδειοι τρέχουν καμπάνιες στην πλατφόρμα του Facebook, όπου και ανέφερε στο bug bounty πρόγραμμα της εταιρείας. Το Facebook αγνόησε την αναφορά του ερευνητή, και δεν έχει προβεί σε κάποια κίνηση για να την περιορίσει, καθώς η συγκεκριμένη μέθοδος, δεν μεταβάλει με οποιονδήποτε τρόπο την κατάσταση του λογαριασμού των χρηστών.
Ο POC (proof of concept) κώδικας έχει δημοσιευτεί όπου δείχνει πόσο εύκολο είναι για έναν developer να κοινοποιήσει πολλές φορές έναν σύνδεσμο.
Ο ερευνητής ασφαλείας ξεκίνησε να αναλύει την καμπάνια όταν παρατήρησε ότι πολλοί από τους φίλους του στο Facebook έκαναν share έναν συγκεκριμένο σύνδεσμο με αστείες εικόνες. Όταν ο ίδιος άνοιξε αυτόν τον σύνδεσμο, πριν φτάσει στο σημείο να δει τις αστείες εικόνες, του ζητήθηκε να επιβεβαιώσει ότι είναι πάνω από 16 χρονών.
“Αφού επιβεβαιώσει κανείς ότι είναι πάνω από 16 χρονών, μεταφέρετε στην σελίδα με τις αστείες εικόνες. Αυτό όμως που δεν γνωρίζει, είναι ότι αυτόματα κάνει και ο ίδιος κοινοποίηση του συνδέσμου από τον λογαριασμό του.
Αυτό που ανακάλυψε με μία γρήγορη ματιά στον κώδικα της σελίδας, είναι ένα ύποπτο iframe tag, το οποίο περιέχει ένα URL, υπεύθυνο για την αυτόματη κοινοποίηση. Η συγκεκριμένη μέθοδος έχει ως στόχο τους mobile χρήστες του Facebook και δουλεύει μόνο αν η επιλεγμένη γλώσσα είναι τα Γαλλικά.
Η συγκεκριμένη μέθοδος ονομάζεται click jacking. Δουλεύει φορτώνοντας ένα iframe που βρίσκεται σε ένα κρυφό layer μπροστά από την σελίδα που θέλουμε να δούμε.
Το Facebook απάντησε γρήγορα στην αναφορά, και δήλωσε πως δεν θα προβεί σε κάποια αλλαγή, καθώς η συγκεκριμένη μέθοδος δεν μεταβάλει με οποιονδήποτε τρόπο τον λογαριασμό του χρήστη, οπότε και δεν τίθεται θέμα ασφάλειας.
