:

Szerzők: Bodnár Ádám, Bobor Szabolcs

2010. május 5. 17:01

Kártékony kód küldözget bulimeghívókat a Facebookon

Egy érdekes programozói trükkel a Facebook szinte bármely funkcióját elérhetik a támadók és üzeneteket, meghívókat küldhetnek szét egy kód segítségével, amely kvízjátéknak álcázza magát.

Az elmúlt napokban hullámszerűen söpört végig a magyar Facebook-felhaszálókon néhány bulimeghívó vagy más kéretlen üzenet. Ezek mögött egy olyan kód áll, ami a felhasználók hiszékenységére építve fejti ki hatását. A Facebook sikerének egyik titka, hogy az API-k mindenki számára elérhetők és bárki fejleszthet rá alkalmazást, a lehetőség pedig nem csak az ügyes, hanem az ügyeskedő programozókat vonzza.

Az ismerősöket üzenetekkel elárasztó alkalmazások általában kvíznek vagy más ártatlan időtöltésnek álcázzák magukat. Közös jellemzőjük, hogy egy rejtett szövegdobozt tartalmaznak, amelyben az üzeneteket kiküldő JavaScript-kód szerepel és megpróbálják rávenni a felhasználókat, hogy ezt a kódot tudtuk nélkül lefuttassák. A HWSW által látott kvízben két kép között kellett megtalálni a különbségeket, s a megoldás megtekintéséhez sorban meg kellett nyomni a CTRL+C, ALT+D, CTRL+V és Enter billentyűket. Ezzel az óvatlan felhasználó a rejtett szövegdobozban található JavaScript-kódot a címsorba másolta és le is futtatta, anélkül, hogy tudatosult volna benne, mit is csinált valójában.

\"\"

A visszafejtett kódhoz kattints a képre!

A most elterjedt kódok észrevétlenül üzenetet küldenek az óvatlan felhasználó összes ismerősének, amiben például nyereményjátékon való részvételre vagy rendezvényekre hívják meg, de a tömeges levélküldő kód tetszőlegesen paraméterezhető, így bármilyen reklámot vagy más üzenetet el lehet benne helyezni. A HWSW által eddig látott üzenetekhez a küldő kivétel nélkül a \"Huh :)\" megjegyzést fűzte, de ez is tetszőlegesen módosítható. Az egyik meghívó közel 100 ezer emberhez jutott el, vagyis minden tizedik magyar Facebook-felhasználó megkapta, de láttunk egy ugyanígy terjedő nyereményjátékot, amely majdnem 30 ezer embert ért el.

A csel arra épül, hogy a felhasználó saját maga futtatja le a gondosan előkészített kódot, ezért elég nehéz ellene védekezni. Gyakorlatilag az alkalmazás megvezeti a mit sem sejtő felhasználót, de technikailag nem módosítja a rendszert és a script eredeti készítője nem fér hozzá adatokhoz sem, így kérdéses, hogy mit tudnak lépni a trükk ellen a közösségi oldal üzemeltetői.

Megkérdeztünk egy szakértőt is. Suhajda Gábor (szajmon), aki már több Facebook-alkalmazás fejlesztésében is részt vett, úgy vélekedett, a legnépesebb közösségi oldalon már most is elég sok korlátozás van, az alkalmazásokban lévő JavaScript- és CSS-kódot teljesen átfordítja és átnevezi a rendszer, így próbálva minél jobban megvédeni a felhasználókat - azonban ahogy az a fentiekből látható, ez sosem sikerülhet teljesen. Bizakodásra adhat okot, hogy ezek a kódok maguktól nem tudnak terjedni, az aktiválásukhoz mindenképpen kell a felhasználó – viszont már egy klikk is elég, hogy beinduljon a gépezet.

Egyelőre még csak \"ártatlan\" kódok születtek, de ez a kiskapu a Facebook több funkciójához is hozzáférhet, így elképzelhető, hogy a felhasználóra nézve káros események is előidézhetők. A módszer egyébként nem Facebook-specifikus, ugyanezzel az eljárással elvileg az iWiW-en is küldhetők tömeges üzenetek, hiszen mindkét oldalt emberek látogatják, akiket így vagy úgy, de rá lehet venni arra, hogy lefuttassák a kártékony kódokat.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról