Problemas de seguridad con los nuevos botones de Google y Twitter

Twitter ClickJackingDespués de la publicación que hicimos esta semana pasada sobre «Detectado importante fallo de seguridad en el navegador Chrome de Google» esta semana seguimos con más problemas de seguridad, esta vez con los nuevos botones de Google y Twitter.

El botón para seguir cuentas en Twitter presentado el pasado martes es susceptible de robo de clicks o Clickjacking. El botón sirve para seguir una cuenta de Twitter desde una página web sin dejar la misma, similar al botón ME GUSTA de Facebook. Pero también se puede utilizar para que un usuario (conectado a Twitter) siga automáticamente una cuenta sin tener que hacer click sobre ese botón. Para ello se posiciona el botón de forma invisible en el cursor del ratón y en el momento en el que el usuario hace click en cualquier sitio de la web se activa el botón. Hay un ejemplo en esta página (http://serphacker.com/twitter-follow-clickjacking.html) donde el botón solo es parcialmente invisible para demostrar el efecto. Con esto conseguimos que cualquier persona conectada a Twitter que visite una página preparada con este script nos siga automáticamente una cuenta de Twitter aunque no quiera.

Por otro lado el botón +1 de Google también tiene un problema similar que se demuestra en esta página (http://serphacker.com/google-plus1-clickjacking.html). Para que funcione el usuario tiene que estar conectado con su cuenta Google y haber utilizado ya alguna vez el botón +1. Si se cumplen estos requisitos, al hacer click en cualquier parte de una página con el script automáticamente recomendará esa página a sus contactos para sus resultados de búsqueda.

¿Cómo se pueden evitar estos dos problemas de seguridad? Utilizando bajo Firefox la extensión NoScript que muestra un mensaje cada vez que se hace click sobre un elemento invisible sospechoso. http://noscript.net/

Descubre porqué somos Apasionados del Marketing

Mira también

Planes de precios de LinkedIn a día de hoy

Planes de precios de LinkedIn a día de hoy

Con la irrupción en el día a día de las empresas del coronavirus COVID-19 (o …