don’t click (clickjacking en twitter)

Hoy la curiosidad lleno twitter de mensajes don’t click y el enlace de una misteriosa url con un simple botón.

No era más que un iframe que ocultaba hábilmente el botón de update de la página de twitter, y si pulsabas estando logeado en tu cuenta de twitter mandabas el mensaje «don’t click [y la dichosa url del boton]» como actualización de estado. Así que otros incautos followers tuyos lo vería de nuevo y propagarían el clickjacking.

En ajaxiam explican como lo hicieron.


iframe { position:absolute;width:550px;height:228px;top:-170px;left:-400px;z-index: 2;opacity: 0;filter: alpha(opacity=0); }
button { position:absolute;top:10px;left:10px;z-index:1;width: 120px; }

Un par de líneas para comprende lo sencillo que fue aprovechar la actualización de status para propagarse. Una simple visita con el firebug lo delata.

Y por cierto, al estar acortada con una tinyURL ya ha sido bloqueada por uso inapropiado. http://tinyurl.com/amgzs6