Pas på: Porno-orm rumsterer på Facebook

Computerworld News Service: En stribe Facebook-konti er ifølge sikkerhedseksperter blevet inficeret med en orm, efter brugerne har klikket på et billede af en meget letpåklædt kvinde.

Efter inficeringen omdirigerer ormen offeret til et pornografisk website.

Ormen offentliggør et billede på offerets Facebook-væg af en kvinde i bikini sammen med beskeden "click 'da button, baby." Indlæg på væggen kan ses af brugerens Facebook-venner.

Klikker man på billedet på andres Facebook-væg, mens man er logget ind på Facebook, vil billedet automatisk blive offentliggjort på ens egen væg.

Ens browser vil derefter åbne en webside med en større version af det samme billede. Et yderligere klik på "da button" omdirigerer dig til et pornografisk website, fortæller Roger Thompson, som er analysechef i antivirusleverandøren AVG Technologies.

Han har offentliggjort en video af forløbet på sin blog.

Ved ikke hvordan ormen fungerer
Ormens bagmænd tjener sandsynligvis penge ved at skabe trafik til porno-sitet, siger Nick FitzGerald, som er trusselsanalytiker for AVG.

Eksperterne er ikke helt sikre på, præcist hvordan ormen fungerer, men mener, at det kan være et såkaldt cross-site request forgery-angreb, et clickjacking-angreb eller en blanding af de to.

Et cross-site request forgery-angreb er, når offerets brugeroplysninger udnyttes til at foretage en handling uden brugerens viden eller samtykke.

Hvis det er tilfælde, så bliver billedet uretsmæssigt offentliggjort på offerets Facebook-væg ved at misbruge, at offeret er logget ind.

Clickjacking-metoden handler om, at angriberen gør brug af særlig webprogrammering til at narre offeret til at klikke på usynlige webknapper uden at vide det.

Clickjacking er mulig på grund af en fundamental design-funktion i HTML, der gør at websites kan indlejre indhold fra andre websider. Browserne er stadig sårbare overfor clickjacking, selvom browserproducenterne har arbejdet på at opbygge et forsvar mod angrebet.

Facebook klassificerer i en pressemeddelelse angrebet som clickjacking og som et angreb, der "ikke er specifikt i forhold til Facebook."

"Vi har taget forholdsregler for at blokere den url, der er associeret med dette site, og vi er i gang med at rydde op de relativt få steder, hvor angrebet blev offentliggjort," skriver Facebook.

"I alt blev en ekstremt lille procentdel af brugerne ramt."

Kan blive svært for Facebook at sikre si
Hvis ormen faktisk spreder sig via clickjacking, "så kan det vise sig at blive svært for Facebook at sikre sig ordentligt mod problemet," siger FitzGerald.

Facebook advarer brugerne mod at klikke på mistænkelige links.

I dette tilfælde er det dog ikke tydeligt, at linket er særlig mistænkeligt i lyset af den enorme variation af indlæg på Facebook-brugernes vægge, der består af både tekst, grafik og applikationer, der dukker op overalt på det populære sociale netværk.

En sikkerhedsekspert kom faktisk uforvarende til også at offentliggøre det suspekte billedlink, før han indså, at der var noget galt. "Det viser blot, at selv eksperter kan komme til at læne sig for meget tilbage og have tillid til systemer, som de ikke burde have tillid til," skriver Gadi Evron, der er uafhængig sikkerhedsekspert, på bloggen Dark Reading.

Oversat af Thomas Bøndergaard