Misbruk av Facebook kan gi god fortjeneste

Klikk på «Like»-knapp kan formidle vilkårlig Javascript, advarer PandaLabs.

Disse skjermdumpene viser hvordan «Like»-knappen på Facebook er ment å fungere. Øverst: Knappen slik den vises på nettsiden til spillet BloodWars. Nederst: Oppdateringen av Facebook-siden til Luis Corrons utløst av klikket på Like-knappen: På «Wall», under «Recent Activity», opplyses det at «Luis likes BloodWars».
Disse skjermdumpene viser hvordan «Like»-knappen på Facebook er ment å fungere. Øverst: Knappen slik den vises på nettsiden til spillet BloodWars. Nederst: Oppdateringen av Facebook-siden til Luis Corrons utløst av klikket på Like-knappen: På «Wall», under «Recent Activity», opplyses det at «Luis likes BloodWars». Bilde: Luis Corrons, PandaLabs.
16. juni 2010 - 15:33

Viruslabben til det spanske IT-sikkerhetsselskapet Panda Software advarer at «Like»-knappen som stadig flere nettsteder pynter seg med, kan misbrukes til å formidle vilkårlig Javascript.

Poenget med «Like»-knappen er å gjøre det enkelt å anbefale noe man liker til sine venner. Hvis man er logget på Facebook, og klikker på «Like»-ikonet på et nettsted, vil Facebook-siden din («Wall») oppdateres med en lenke til akkurat den siden. Lenken vises som et lite «Like»-ikon og en kort tekst. Ideen er at hvis du er på [denne nettsiden], skal teksten over lenken være «[navn] liker [denne nettsiden]».

De aller fleste som benytter seg av Like-knappen til Facebook – og over 100 000 nettsteder skal allerede ha tatt den i bruk – følger denne malen, samsvar med anbefalingene på Facebooks utviklersider.

Problemet, ifølge Panda, er at koden er lett å manipulere, for den som behersker Javascript.

Resultatet er at den som legger ut en nettside med en Like-knapp, ikke bare kontrollerer teksten som vises på klikkerens Facebook-side, men kan også legge inn vilkårlig valgt tilleggsfunksjonalitet.

Dette kan misbrukes på forskjellig vis. En enkel metode er å bygge om lenken på klikkerens Facebook-side slik at den viser til en annonseside. Panda forteller at denne metoden er anvendt av nettsteder som bruker oppslag om det utbredte spillet Farmville, den nye filmen Sex and the City 2, og sex i sin alminnelighet. Metoden genererer mange klikk, i den utstrekning den opprinnelige klikkerens venner interesser seg nok for det vennen er opptatt av til å klikke på den anbefalte lenken. På nettet er det som kjent klikk og visninger som avgjør hva man betaler for en annonse.

En annen mulighet er å bruke manipulert Javascript under Like-knappen til å spre ondsinnet kode.

– Denne muligheten er ennå ikke blitt utnyttet, men det hadde vært forholdsvis enkelt og effektivt å gjøre det, sier Luis Corrons i Pandalabs.

På sin blogg skriver Corrons at det bare er snakk om tid før det faktisk skjer.

Han anbefaler å være ytterst varsom med hva man klikker på av Like-knapper, og innstille nettleseren til ikke å kjøre Javascript.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.