Odkaz zveřejněný uživatelem sítě Facebook může klidně vést na webovou stránku se škodlivým obsahem jen díky tomu, že stránka rozpozná požadavky přicházející od specifických klientů a ukáže jim jiný (nezávadný) obsah. Jde o metodu, kterou útočníci již dlouho používají pro ovlivnění výsledků ve vyhledávači Google a nyní se ukazuje, že odolná proti ní není ani nejpoužívanější sociální síť.
O názornou demonstraci toho, jak takový útok může vypadat, se postaral jeden ze členů Blackhat Academy vystupující pod přezdívkou Hatter. Na zeď umístil odkaz na soubor ve formátu JPEG. Facebook daný odkaz zveřejnil a připojil k němu i náhled. Když však Hatter poté na vložený odkaz klepnul, byl okamžitě přesměrován na YouTube. Odkazovaná stránka totiž dokázala rozpoznat žádost pocházející od Facebooku a poskytla mu jen soubor s obrázkem.
„Ačkoliv je vůči této metodě zranitelná většina velkých stránek umožňujících vložení odkazu, weby jako Google+ či Facebook jsou snáze rozpoznatelné,“ vysvětlují hackeři z Blackhat Academy. Snaží se totiž o stránce získat nějaké další informace, aby mohly k odkazu přiložit obrázek či rovnou náhled na celý web. K tomu používají vlastní uživatelské agenty nebo „profláknuté“ IP adresy.
Počátkem tohoto týdne Facebook podepsal dohodu o partnerství se společností Websense, díky které bude moci používat její skener pro rozpoznání závadných odkazů. Krátce poté zveřejnila skupina Blackhat Academy kód proof-of-concept, který lze použít k překonání této nové ochrany. Podle pracovníků Websense však nic takového není možné. Používají prý takové množství metod a systémů pro rozpoznání škodlivých stránek, že útočníci nemají šanci svůj odkaz protlačit. V úvahu podle nich nepřipadá ani rozpoznání skeneru díky použité IP adrese.
Pravdou však je, že se Websense dosud zabýval především prodejem bezpečnostních řešení pro firemní zákazníky. Ti přitom Facebook obvykle blokují. Bylo by tedy celkem logické předpokládat, že použití jeho skeneru v sociálních sítích nemusí mít okamžitý dopad.