Clickjacker le nouveau bouton suivre de Twitter

Clickjacking Twitter

Fin mai (2011), Twitter annonçait le lancement de son nouveau « follow button »: Celui-ci permet en un clic, sans passer par la case Twitter (sauf pour se login via un popup), de follower des twittos. Comme vous pouvez le constater, nous avons installer des boutons follow dans la colonne de droite, donc n’hésitez pas à vous amuser avec en cliquant dessus 🙂

Le rendu est simple et efficace, et Twitter rattrape ainsi Facebook qui a lancé son like button depuis un moment déjà, et a été fortement adopté par le world wide web. En permettant aux Internautes de s’abonner à du contenu sans les rediriger sur sa propre plateforme, Twitter va probablement observer de fortes augmentations dans le nombre de follows sur sa plateforme. Pour vous procurez ce code et l’insérez dans votre site, c’est par ici: Bouton suivre Twitter

Cependant, tout n’est pas si rose dans le monde de l’oiseau bleu: Le jour qui suivit l’annonce de Twitter, un blogueur aux influences blackhat a publié sa technique pour faire du clickjacking sur le nouveau bouton follow. Le principe est très simple et à la portée de toute personne capable de gérer 3 lignes de code:

  • Placer le bouton dans une iframe
  • Rendre l’iframe transparente via css
  • Capturer les mouse events (mouvements de souris)
  • Quand la souris bouge, bouger l’iframe pour que celle-ci reste toujours sous le curseur de la souris
  • Si un visiteur clique n’importe où sur la page, il suivra automatiquement le compte du follow button

Et si vous voulez tester, l’auteur du billet a créé une petite page démo où la transparence de l’iframe est paramétrée à 20% pour que l’on puisse se rendre compte du subterfuge: Twitter clickjacking demo

Source: SERP Hacker via @YannickEyl