Twitter und der Don't Click Wurm

Heute Nachmittag verbreiteten sich relativ schnell "Don't Click" Messages über Twitter. Dabei wurde vom jeweiligen Sender ohne sein Wissen die Nachricht "Don't Click" mit einer entsprechenden Url abgeschickt. Andere, die wiederum diese Url aufriefen und den darauf befindlichen Button drückten, verbreiteten ebenfalls die "Don't Click" Message via Twitter. Es ist natürlich sehr unangenehm, wenn man Nachrichten versendet ohne es selbst zu wollen. Das ganze funktioniert aber wenn
  • JavaScript aktiviert und
  • man mit dem Webbrowser in Twitter direkt eingeloggt ist.
Über einen simplen iframe, der unsichtbar auf der Page steht und dessen Inhalt via Buttonklick aktiviert wird. Ist man nun in Twitter eingeloggt, wird die Message abgeschickt. Das heißt es wurde eine Message abgeschickt aber:
  • Keiner hat Euer Passwort gestohlen
  • Ihr habt keinen Virus oder Trojaner
Wie kann man sich jetzt gegen so etwas schützen?
  1. Keine dummen Buttons anklicken!-)
  2. Das Plugin NoScript für den FireFox installieren, damit kann man steuern, welche Seite auf Euren Rechner JavaScript ausführen kann und welche nicht.
UPDATE: Twitter nennt das ganze ClickJacking und hat das bereits von ihrer Seite aus gefixt. Das Porblem kann aber natürlich jederzeit auf anderen Seiten mit anderen Applikationen auftreten. Schützen kann man sich vorerst nur mit den oben beschriebenen Möglichkeiten.
Published:
blog comments powered by Disqus