De gevaren van onzichtbare Facebookapplicaties
Facebook in combinatie met onbetrouwbare sites kan problemen opleveren. Narkolayev Shlomi, een Israelische beveiligingsonderzoeker, toont aan hoe hij vanaf een andere site inloggegevens voor Facebook steelt.
Het fenomeen is beter bekend als clickjacking. Hierbij verstop je een site achter een andere site, waardoor de gebruiker niet ziet waar hij klikt. Zo kunnen inloggegevens van sites als Facebook worden gestolen.
Shlomi geeft de uitleg op zijn blog en verduidelijkt het probleem met een video. Hierop is te zien hoe hij is ingelogd op Facebook en ondertussen in een ander tabblad een site opent die volledig los van de sociaalnetwerksite staat.
Dubbele wand
Wat je als gebruiker niet ziet, is dat achter de nieuwe site een Facebookapplicatie (op een Facebookpagina) staat. Die wordt onbewust mee aangeklikt en geactiveerd zonder waarschuwing.
Wie op dat moment is ingelogd bij Facebook, geeft op die manier zijn gegevens prijs omdat Facebook denkt dat je bewust een applicatie hebt toegevoegd. Alleen als je op dat moment kijkt naar je instellingen, zie je dat er een extra applicatie is geïnstalleerd.
Klikken naar keuze
Via clickjacking kun je gebruikers alles laten doen, van vrienden toevoegen en verwijderen tot het opstarten van de webcam en microfoon in Flash (enkel bij oudere versies dan 10.x). Volgens Shlomi is het zelfs mogelijk om een botnet op te starten.
Volgens de Israeliër zijn er nog meer grote sites die dit probleem hebben. De technische details over de kwetsbaarheid plaatst hij pas binnenkort, zodra Facebook het probleem heeft opgelost.
