Menü
Security

Neue Google- und Twitter-Buttons laden zum Missbrauch ein

vorlesen Drucken Kommentare lesen 82 Beiträge

Der am Dienstag von Twitter vorgestellte Follow-Button ist anfällig für Clickjacking, wie ein französischer Sicherheitsforscher herausgefunden hat. Eigentlich dient die neue Funktion dazu, dass Anwender dem Twitter-Feed einer Webseite mit nur einem Mausklick folgen können, ohne die eigentliche Webseite zu verlassen – vergleichbar mit dem "Gefällt mir"-Button von Facebook.

Clickjacking-Demo: Bei einem echten Angriff wäre der Follow-Button vollständig transparent.

(Bild: heise Security)

Angreifer können den Button jedoch auch dazu missbrauchen, um den Besucher einer präparierten Webseite unbemerkt dazu zu bringen, beliebige Feeds zu abonnieren: Hierzu legt der Angreifer den Button unsichtbar unter den Mauszeiger seines potentiellen Opfers. Sobald das Opfer auf eine beliebige Stelle der Webseite klickt, wird der Button betätigt. Dies präsentiert der Forscher auf einer Demoseite. Zu Anschauungszwecken ist der Follow-Button hier nur halb transparent.

Ehe das Opfer etwas von dem falschen Spiel mitbekommt, hat es möglicherweise ungewollt schon einen ganzen Strauß von Twitter-Feeds abonniert. Voraussetzung ist, dass das Opfer bei Twitter eingeloggt ist. Auch Googles +1-Button ist anfällig für Clickjacking, wie der Forscher auf einer weiteren Demoseite mit minimal geändertem Code zeigt. Damit der Exploit funktioniert, muss man bei Google eingeloggt sein und schon mal von +1 Gebrauch gemacht haben. Andernfalls öffnet sich nur ein Fenster.

NoScript warnt den Nutzer, wenn er auf ein verdächtiges Element klickt.

(Bild: heise Security)

Mit +1 können Google-Nutzer ihren Kontakten bestimmte Suchtreffer empfehlen. Derzeit ist diese Funktion nur in der englischsprachigen Google-Suche aktiv. Auch der "Gefällt mir"-Button von Facebook ist übrigens keine Ausnahme: Immer wieder wird der Knopf im großen Stil für das sogenannte Likejacking missbraucht. Schutz vor Clickjacking bietet die Firefox-Erweiterung NoScript: Sobald man auf ein verdächtiges unsichtbares Element klickt, zeigt NoScript einen Warnhinweis an. (rei)