Reingefallen: Wie man sich auf Facebook „Likes“ erschleicht

Ich dachte eigentlich, immun gegen so billige Spielchen zu sein. Aus dem „Ich weiß schon, wo ich hinklicke“-Grund hatte ich auch lange Zeit keinen Virenscanner drauf und fuhr eigentlich immer gut. Gestern hat michs jedoch erwischt – auf Facebook. Also jetzt nicht so richtig erwischt, aber ich habe ein Video geliked, ohne es zu wollen. Erbost ging ich der Sache auf den Grund und war ziemlich schockiert über diese miese Praktik. Aber der Reihe nach.

Es handelt sich „http://ksmp3.de/Guten-Morgen-Schatz-geht-daneben/„. Bitte erstmal nix klicken. Facebook packt den Like-Button sinnvollerweise in ein IFrame, weil man so mit Javascript keinen Klick auslösen kann (Cross Domain Policy). Also muss der User selbst „Like“ klicken. Das was da erstmal aussieht, wie ein ordinäres Youtube-Video hat auf den zweiten Blick nicht mehr viel damit zu tun, da es sich eigentlich nur um Bilder handelt:

Die normale Play-Bar:

Und bei Hover:

Dasselbe beim eigentlichen Video-Content:

…und gehovert:

Okay, schonmal ziemlich gut gemacht. Der Benutzer klickt nun also in freudiger Erwartung auf das Video. Jetzt greift folgendes Javascript:

$(document).ready(function()  { 
	$('#player').mousemove(function(e) { 
		$('#adra').css('left', e.pageX-1+'px'); 		$('#adra').css('top', e.pageY-1+'px');
 	}); 	
 	$('#player1').hover(function(){ $(this).css('background', 'url("videoContent2.jpg")'); 
					  },function(){
 $(this).css('background', 'url("videoContent1.jpg")');
 }); 
					   	$('#player2').hover(function(){ $(this).css('background', 'url("videoNav2.jpg")'); 
					  },function(){ $(this).css('background', 'url("videoNav1.jpg")');
 });						       });	  done = function() { 
	$('#player').css('display', 'none'); 
	$('#realPlayer').css('display', 'block');
 }
 

Aha. Das Element #adra folgt also der Maus. Beim Hover werden die Pseudo-Video-Bilder ausgetauscht, wie man es von Youtube gewohnt ist. Und beim Klick verschwindet letztendlich der Player und gibt das frei, was darunter liegt – Das freundlicherweise sogar #realPlayer genannte Element, mit dem wirklichen Video.

Im #adra-Div liegt der Facebook-Like-Iframe mit folgendem CSS:

element.style { 	position: absolute; 	width: 2px; 	height: 2px; } 

Wenn wir jetzt mal die Dimension des #adra-Divs und des darin befindlichen Iframes etwas anpassen, kommen wir zu folgendem Ergebnis:

Tja, und nach einem Klick geht dann das eigentliche Youtube-Video los. Vom Prinzip her eigentlich nur Clickjacking in Perfektion – in einem verhältnismäßig ungefährlichen Kontext. Da ich aber hier selbst mal auf die Nase gefallen bin, hats mich doch ziemlich sensibilisiert. Und man überlege sich mal, was mit dieser miesen Taktik noch alles möglich wäre, ohne das der Benutzer etwas mitbekommt: Mit Vollzugriff ausgestattete Facebook-Apps erlauben etwa. Für Datencrawler ein Paradies.

Ich habe das erstmal bei Facebook gemeldet. Los werdet ihr den Mist wieder, indem ihr auf eurer Pinnwand das „X“ beim Beitrag klickt und Beitrag + Like entfernen wählt. Ich scheine wohl auch nicht der Einzige zu sein, der darauf reingefallen ist. Aktuell verbreitet sich das Video wie die Seuche.

Error: No site found with the domain 'test.basti1012.bplaced.net' (Learn more)