Indahax - Pierre Noguès

Twitter Facebook Linkedin email

Twitter new follow button clickjacking attack

Aujourd'hui Twitter vient de proposer un bouton "follow" qui permet de suivre une personne sur twitter en un click si vous êtes déjà connecté à twitter. Pas besoin d'aller sur le site de twitter pour suivre la personne, tout est fait via une iframe sur le site où le bouton est installé.

Il est possible de faire une attaque par clickjacking sur ce bouton : si une personne click n'importe où sur votre site alors celle-ci activera le bouton follow et vous suivra si elle est connectée à twitter. Voici comment ça marche :

  • Il faut mettre en place une iframe transparente/invisible via CSS.
  • Via javascript il faut capturer les mouvements de la souris.
  • Quand la victime bouge la souris, il faut bouger l'iframe du twitter button de façon à ce qu'elle soit systématiquement en dessous du curseur de la souris.
  • Si la victime click, elle cliquera donc automatiquement sur le bouton follow (qu'elle ne voit pas car il est invisible) et vous suivra automatiquement (s'il est déjà connecté à Twitter).
  • Game over.

Le POC est ici, j'ai mis l'opacité du bouton follow à 40% de façon à ce que l'on voit bien l'iframe se déplacer en même temps que le curseur, bien sûr il est possible de la rendre totalement invisible....