Як зазначає Netcraft в опублікованому 17 квітня звіті, вразливістю на сайті Google, ймовірно, ніхто не встиг скористатися, проте в разі швидкого виявлення вона могла б представляти серйозну небезпеку для користувачів.
За словами представників фірми, щоб створити ефект відбиття на «дзеркальному» домен com.google, співробітники пошукової системи за допомогою параметра «igu=2» відключили на google.com заголовок X-Frame-Options, який перешкоджає відображенню головної сторінки Google на інших сайтах.
Таким чином заради першоквітневого жарту програмісти корпорації відкрили на google.com уразливість під назвою clickjacking (дослівно «угон кліків»). З її допомогою зловмисники могли змушувати користувачів натискати на різні кнопки зі сторонніх сайтів, думаючи, що вони знаходяться на Google, а також «підкладати» прихований інтерфейс сторінки під видимий, роблячи результати кліків кнопок непередбачуваними. Зокрема, вразливість дозволяла без відома користувача повністю відключати у нього всі пошукові фільтри.
Netcraft припускає, що зниження рівня безпеки не було випадковим, так як для жарти Google самої знадобилося скористатися clickjacking, і вона була змушена відключити цю захист повністю. Проблему можна було б вирішити іншим шляхом, однак він виявився б занадто трудомістким.
«Кликджекингу» часто зазнають і інші великі сервіси на зразок PayPal або Facebook. Наприклад, в використанні цієї уразливості на початку квітня запідозрили виробника горілки Absolut або її партнерів. Тоді користувачі Facebook масово підписувалися на сторінку Absolut в соцмережі, не знаючи, що натискають лайк, імовірно виконуючи дії на якомусь іншому сайті.
