Viruslabben til det spanske IT-sikkerhetsselskapet Panda Software advarer at «Like»-knappen som stadig flere nettsteder pynter seg med, kan misbrukes til å formidle vilkårlig Javascript.
Poenget med «Like»-knappen er å gjøre det enkelt å anbefale noe man liker til sine venner. Hvis man er logget på Facebook, og klikker på «Like»-ikonet på et nettsted, vil Facebook-siden din («Wall») oppdateres med en lenke til akkurat den siden. Lenken vises som et lite «Like»-ikon og en kort tekst. Ideen er at hvis du er på [denne nettsiden], skal teksten over lenken være «[navn] liker [denne nettsiden]».
De aller fleste som benytter seg av Like-knappen til Facebook – og over 100 000 nettsteder skal allerede ha tatt den i bruk – følger denne malen, samsvar med anbefalingene på Facebooks utviklersider.
Problemet, ifølge Panda, er at koden er lett å manipulere, for den som behersker Javascript.
Resultatet er at den som legger ut en nettside med en Like-knapp, ikke bare kontrollerer teksten som vises på klikkerens Facebook-side, men kan også legge inn vilkårlig valgt tilleggsfunksjonalitet.
Dette kan misbrukes på forskjellig vis. En enkel metode er å bygge om lenken på klikkerens Facebook-side slik at den viser til en annonseside. Panda forteller at denne metoden er anvendt av nettsteder som bruker oppslag om det utbredte spillet Farmville, den nye filmen Sex and the City 2, og sex i sin alminnelighet. Metoden genererer mange klikk, i den utstrekning den opprinnelige klikkerens venner interesser seg nok for det vennen er opptatt av til å klikke på den anbefalte lenken. På nettet er det som kjent klikk og visninger som avgjør hva man betaler for en annonse.
En annen mulighet er å bruke manipulert Javascript under Like-knappen til å spre ondsinnet kode.
– Denne muligheten er ennå ikke blitt utnyttet, men det hadde vært forholdsvis enkelt og effektivt å gjøre det, sier Luis Corrons i Pandalabs.
På sin blogg skriver Corrons at det bare er snakk om tid før det faktisk skjer.
Han anbefaler å være ytterst varsom med hva man klikker på av Like-knapper, og innstille nettleseren til ikke å kjøre Javascript.
Les også:
- [17.06.2010] Enkel oppskrift for sikre passord