Jedną ze zmian, które mogą przyczynić się do problemów z bezpieczeństwem, było wprowadzenie nowego sposobu tworzenia stron Facebook Pages. Strony te, wykorzystywane przez fanów zespołów muzycznych, drużyn sportowych, marek, a nawet kulinariów, były dotąd tworzone za pomocą statycznego języka FBML lub HTML. W tym celu oprócz statycznego języka można było dodać niestandardową aplikację do zakładki FBML w taki sposób, by mogła ona zażądać danych z zewnątrz i następnie wyświetlić je w zakładce. Treść zakładek była przetwarzana przez serwery Facebooka i podlegała istotnym ograniczeniom, co poważnie utrudniało wykonywanie funkcji skryptów JavaScript i apletów Flash. Chociaż osadzanie własnej treści było trudniejsze, ograniczenia utrudniały jednocześnie śledzenie użytkowników i umieszczanie złośliwej treści bezpośrednio w kodzie strony.

Jak informuje Rik Ferguson, Director Security Research & Communication EMEA w firmie Trend Micro, obecnie można włączać ramki IFRAME bezpośrednio do aplikacji Facebooka na zakładkach stron, dzięki czemu treść tam umieszczona nie będzie przetwarzana przez serwery Facebooka, a zatem nie będzie podlegać kontroli. Zmiana ta ucieszy programistów działających zgodnie z prawem, ale również może posłużyć na przykład do rozsiewania złośliwego oprogramowania.

Złośliwa zakładka na stronie

Do ataku można wykorzystać stronę Facebooka, utworzywszy zakładkę, którą widać jako pierwszą po otwarciu strony. Do tej zakładki dodaje się ramkę IFRAME, która może zawierać kod JavaScript, natychmiastowo przekierowujący na wybraną stronę. Docelowa strona może zawierać fałszywy program antywirusowy, zestaw eksploitów przeznaczony do infekcji przeglądarki w komputerze ofiary, albo wiadomość, która zachęca do pobrania kodeka w celu obejrzenia filmu. Oczywiście efektem końcowym jest zarażenie komputera ofiary za pomocą złośliwego oprogramowania, najczęściej któregoś z wariantów ZeuSa/Zbota. Dzięki temu można bardzo łatwo sprawić, że użytkownik sam odwiedzi szkodliwą stronę.

Oczywiście Facebook prosi programistów o zaakceptowanie regulaminu, który zabrania propagowania złośliwego oprogramowania, ale zakazy te są trudne do wyegzekwowania przy takiej skali zjawiska. Badacze firmy Trend Micro poinformowali administratorów Facebooka o zagrożeniu związanym z dopuszczeniem ramek IFRAME zawierających niechronione skrypty i treści, ale do czasu zamknięcia numeru nie poznaliśmy odpowiedzi.

Likejacking

Kolejnym atakiem, który wykorzystuje popularność Facebooka, jest atak przechwycenia kliknięć, wykorzystujący mechanizm przycisków Lubię to! (Like), umieszczanych na różnych stronach. Po kliknięciu tego przycisku specjalnie umieszczony skrypt umieszczał status na tablicy użytkownika, by zachęcić innych internautów do kliknięcia linku dołączonego do statusu.