●概述：
波蘭籍資安鑑識分析好手Lasq，部落格甫開張就揭Facebook的瘡疤，上週Lasq意識到，有個在臉書散布垃圾廣告的組織行動，藉由分享趣味圖案，吸引人按下滑鼠，彈出對話框詢問是否年逾16，再按鍵則挑出一堆廣告，而FB出現期望中的內容，賡續追查發現，該行動鎖定法國人，還避開來自波蘭的轉址流量，此資安事件無法以X-Frame-Options=DENY方式阻絕，因攻擊者係利用Facebook行動版網頁分享對話方塊功能，當mobile_iframe=true，能操控受害者後續瀏覽之URL，危險之處在於FB朋友之間信任，無防備狀態下被誘導至釣魚網頁而交出個資，下載惡意程式，甚可能變更受害者隱私選項，刪除account，然FB官方認為此為功能非漏洞，並宣稱已改善Clickjacking偵測系統，足以防止攻擊，但Lasq實測後仍可得手，並提供探勘工具(https://malfind.com/test/poc.html )，惟須注意試驗poc.html時請調整為隱私，莫影響社交關係。
●編註：
(1)行動版Facebook元件設計缺失
據Facebook開發文件，有關「分享」對話方塊之敘述中，提及4個share參數(href、hashtag、quote、mobile_iframe)，最後一個稱mobile_iframe，若設為true，則分享按鈕會在用戶網站上層iframe中開啟分享對話方塊，特別之處在於mobile_iframe不適用於桌機版，僅對行動版生效，亦指iOS、Android用戶，而進階功能內，「行動版網頁分享對話方塊」結束分享後，將會關閉對話方塊，用戶回到原始內容繼續瀏覽，範例程式碼如下：
FB.ui({
method: 'share',
mobile_iframe: true,
href: 'https://developers.facebook.com/docs/',
},　function(response){});
僅僅mobile_iframe: true條件成立，就可控制用戶隨後觸及之URL，只要加以設計，可在別人的FB動態時報(Timeline)散播廣告連結，且無須當事人同意，垃圾廣告或許不嚴重，但FB朋友間信任，誘導至釣魚網頁，下載惡意程式，事態就很嚴峻，且有可能變更受害者帳號狀態，停用隱私安全選項，甚至刪除account。
(2) Clickjacking概述
Clickjacking亦稱點擊劫持，此類攻擊手法，是呈現某個誘餌網頁，上層放置隱藏iframe，才是實際與受害者互動的主角，當然iframe內惡意代碼須點擊後生效，該型態亦稱界面偽裝(UI redressing)，為防止這種掛羊頭賣狗肉的情境，在表頭中，可設定X-Frame-Options數值為DENY。