LUK
07-03-2011, 11:08
Desde esta mañana llevo observando como se propaga un gusano por casi todos mis contactos en facebook a través de los nuevos “me gusta” (http://mashable.com/2011/02/27/facebook-like-button-takes-over-share-button-functionality/).
Desde esta semana, cuando le damos click a “Me gusta” en cualquier contenido web se comparte en nuestro muro con una miniatura y un título, como llevaba haciendo el botón “compartir” de toda la vida.
El problema viene cuando al “me gusta” no tienes que darle confirmación alguna, haces click y se publica automáticamente en tu muro si estás logueado previamente en Facebook. Esto si se usa malintencionadamente puede engañar a cualquier usuario y hacer que publique en su muro lo que queramos sin su consentimiento… Este tipo de prácticas se pueden llevar a cabo desde hace algún tiempo, pero no tenía tanta potencialidad de riesgo, ya que el “me gusta” no acaparaba tanta relevancia en el muro. El análisis del gusano después del salto http://jmchia.com/wp-includes/images/smilies/icon_wink.gif
El gusano nos aparecerá como si un amigo hubiera hecho voluntariamente un “Me gusta” a un video de una señorita enseñando sus encantos:
http://jmchia.com/wp-content/uploads/2011/03/facebook.png (http://jmchia.com/wp-content/uploads/2011/03/facebook.png)
Si hacemos click, nos aparece un calco a Youtube, pero llamado “Youtubo”:
http://jmchia.com/wp-content/uploads/2011/03/youtubo-300x296.png (http://jmchia.com/wp-content/uploads/2011/03/youtubo.png)
Si hacemos click en el botón ”Play” no reproduciremos video alguno, ese botón tiene oculta la función “Me gusta” y automáticamente le diremos a todos nuestros amigos en nuestro muro que nos gusta este video.
Para evitar este tipo de clickjacking solo podemos usar el sentido común, asi que ante contenido sospechoso… cuidado, ya que a simple vista no hay manera de detectarlo.
Codigo del gusano:
<iframe scrolling="no" frameborder="0"
name="lpcframe" id="lpcframe"
allowtransparency="true"
style="border: medium none; overflow: hidden; width: 150px; height: 8px;"
src="http://www.facebook.com/plugins/like.php? (http://www.facebook.com/plugins/like.php)
href=http://www.clickvideo.org/index.php&
width=400&connections=10&
stream=true&header=true&
height=587"></iframe>
Actualizado:
He hecho algunas pruebas para ver que complicado era programar algo parecido a lo de clickvideo y en media horita y con ayuda de google he hecho un script para que se publique automaticamente un “me gusta” en el muro del usuario (sin que lo sepa, claro) al hacer click sobre cualquier enlace de la web. Puedes echarle un vistazo en http://jmchia.com/facebookspam.html
Enlaces:
http://mashable.com/2011/02/27/facebook-like-button-takes-over-share-button-functionality/
http://jmchia.com/2011/03/el-nuevo-me-gusta-de-facebook-paraiso-del-spam/
Desde esta semana, cuando le damos click a “Me gusta” en cualquier contenido web se comparte en nuestro muro con una miniatura y un título, como llevaba haciendo el botón “compartir” de toda la vida.
El problema viene cuando al “me gusta” no tienes que darle confirmación alguna, haces click y se publica automáticamente en tu muro si estás logueado previamente en Facebook. Esto si se usa malintencionadamente puede engañar a cualquier usuario y hacer que publique en su muro lo que queramos sin su consentimiento… Este tipo de prácticas se pueden llevar a cabo desde hace algún tiempo, pero no tenía tanta potencialidad de riesgo, ya que el “me gusta” no acaparaba tanta relevancia en el muro. El análisis del gusano después del salto http://jmchia.com/wp-includes/images/smilies/icon_wink.gif
El gusano nos aparecerá como si un amigo hubiera hecho voluntariamente un “Me gusta” a un video de una señorita enseñando sus encantos:
http://jmchia.com/wp-content/uploads/2011/03/facebook.png (http://jmchia.com/wp-content/uploads/2011/03/facebook.png)
Si hacemos click, nos aparece un calco a Youtube, pero llamado “Youtubo”:
http://jmchia.com/wp-content/uploads/2011/03/youtubo-300x296.png (http://jmchia.com/wp-content/uploads/2011/03/youtubo.png)
Si hacemos click en el botón ”Play” no reproduciremos video alguno, ese botón tiene oculta la función “Me gusta” y automáticamente le diremos a todos nuestros amigos en nuestro muro que nos gusta este video.
Para evitar este tipo de clickjacking solo podemos usar el sentido común, asi que ante contenido sospechoso… cuidado, ya que a simple vista no hay manera de detectarlo.
Codigo del gusano:
<iframe scrolling="no" frameborder="0"
name="lpcframe" id="lpcframe"
allowtransparency="true"
style="border: medium none; overflow: hidden; width: 150px; height: 8px;"
src="http://www.facebook.com/plugins/like.php? (http://www.facebook.com/plugins/like.php)
href=http://www.clickvideo.org/index.php&
width=400&connections=10&
stream=true&header=true&
height=587"></iframe>
Actualizado:
He hecho algunas pruebas para ver que complicado era programar algo parecido a lo de clickvideo y en media horita y con ayuda de google he hecho un script para que se publique automaticamente un “me gusta” en el muro del usuario (sin que lo sepa, claro) al hacer click sobre cualquier enlace de la web. Puedes echarle un vistazo en http://jmchia.com/facebookspam.html
Enlaces:
http://mashable.com/2011/02/27/facebook-like-button-takes-over-share-button-functionality/
http://jmchia.com/2011/03/el-nuevo-me-gusta-de-facebook-paraiso-del-spam/