Facebook'ta spam sorununa maruz kalmış bir güvenlik uzmanı, failin kullandığı yöntemi keşfetti ve şirketin ‘hata ödüllendirme programı’ aracılığıyla bir rapor gönderdi. Ortaya çıkardığı sorun ise hâlâ varlığını sürdürüyor çünkü Faceboook, hesap durumunu değiştirmemesi gerekçesiyle reddetti.
Kavram kanıtlama yöntemi gösteriyor ki bir yazılımcı linkleri kafasına göre, Facebook üzerinden gönderebiliyor.
Güvenlik uzmanı, spam sorununu fark edince bunu analiz etmeye başladı. Arkadaşlarının birçoğu garip bir fotoğrafla birlikte değişik bir siteye yönlendiren bağlantı paylaşmıştı. Bağlantıya tıkladıktan sonra, içeriğe erişmeden önce kullanıcılardan 16 yaşından büyük olduğunun onayını istiyordu.
Güvenlik araştırmacısı yayınladığı blog yazısında “Bağlantıya tıkladıktan sonra, sizi eğlenceli karikatürlerin (ve bolca reklamın) olduğu bir sayfaya yönlendiriyor. Ancak bu sırada, tıkladığınıza benzer bir bağlantı da sizin duvarınızda paylaşılıyor” diyor.
Kaynak sayfasındaki bir iFrame etiketi şüphelerini artırıyor ve araştırmanın ne üzerine olacağını belirliyor. Güvenlik uzmanı, iFrame’in hem çoklu bağlantı hem de Facebook sayfasında paylaşılmak üzere bir URL barındırdığını fark ediyor.
Spam mesajları gönderen kişi Fransa’daki kullanıcıları hedef almış ve kullanıcıların izni olmadan paylaşma iznine erişmişti. Bu tarz saldırılara ‘clickjacking’ adı veriliyor. Kullanıcılar linke tıkladığında bir bekleme sayfası oluşuyor, bunun bir tuzak olduğunu fark etseler de asıl etkileşim görünmeyen başka bir katmanda gerçekleşiyor.
Araştırmacının iddialarına göre, Facebook bunun bir güvenlik sorunu olmadığını çünkü kullanıcıların hesaplarının doğruluğunda bir değişiklik yaratmadığını (kullanıcı ayarlarını değiştirme vb) söyledi.
Bu tarz paylaşımların, kullanıcıların zaman tünelinde paylaşılmasına izin vermek ciddi bir problem, kullanıcı izni olmadan paylaşılan bu bağlantılar spam mesaj değil zararlı bir yazılım da olabilir.
