Mozilla má doplněk proti clickjackingovým útokům pro Firefox

Clickjacking je nový typ nebezpečného webového útoku, který postihuje webové prohlížeče, servery, aplikace i některé rozšířené plug-iny. Jak se projevuje a jakým způsobem se proti němu lze bránit?



Clickjacking je nový typ nebezpečného webového útoku, který postihuje webové prohlížeče, servery, aplikace i některé rozšířené plug-iny. Jak se projevuje a jakým způsobem se proti němu lze bránit?

Podstatou útoku je opravdu přimět uživatele k jedinému kliknutí – odtud název. Útočník toho nejčastěji dosahuje přes oblíbený iframe, kterým vloží do jedné stránky obsah jiné stránky. Uživatel pak klikne na určité tlačítko v domnění, že se nachází na stránce, kterou právě prohlíží. Sám o sobě vypadá takový „útok“ neškodně, nicméně například kvůli chybě v přehrávači Flash může vést až k tomu, že útočník bez vědomí uživatele změní nastavení přehrávače a ovládne na uživatelově počítači připojenou kameru nebo mikrofon, respektive je bude moci odposlouchávat.

Adobe proto až do vydání opravy doporučuje vyhnout se těmto rizikům pomocí speciálních úprav nastavení přehrávače Flash (podrobnosti Computerworld.com).

Clickjacking znamená ovšem i zranitelnost samotných webových prohlížečů a serverů, takže potenciál útoků tohoto typu je značně široký. Nejobecněji by se dalo říci, že zranitelné jsou zejména bohaté webové aplikace. Někdy není ke zneužití podle všeho potřeba ani iFrame, někdy se využívá JavaScript, někdy CSRF.

Některé typy útoků jsou závislé na konkrétní verzi prohlížeče, jiné nikoliv. Scénářů útoku neustále přibývá (Ha.ckers.org), naštěstí většina z nich se alespoň prozatím zdá být spíše teoretických.
Nenechte si ujít:
Mozilla experimentuje se vzhledem a novými funkcemi Firefoxu

Firefox 3.0: Nejčastěji kladené otázky ohledně instalace

Firefox, IE7, Opera a Safari v testu – v čem je který rychlejší?

Mozilla vydala nové verze Firefoxu 3.0 i 2.0

Mobilní prohlížeče Safari a Opera jsou zranitelnější
První informace o tomto druhu útoků zveřejnili Hansen a Grossman na konci září na bezpečnostní konferenci v new Yorku. Ovládnutí kamery či mikrofonu demonstroval izraelský výzkumník Guy Aharonovsky.

Mozilla v reakci na toto nebezpečí vydala doplněk pro Firefox nazvaný NoScript, který je momentálně ve verzi 1.8.2.8 (odkaz ke stažení je zde), jenž má za úkol blokovat nebezpečné scripty a tím i tento typ útoků. Funguje navíc i s prohlížeči Flock a SeaMonkey, které jsou postavené na enginu od Mozilly. Nicméně bezpečnostní expert Giorgio Maone říká, že spíše než spoléhat se na blokování nejrůznějších oken by bylo vhodné vyvinou speciální typ pokročilejší ochrany pro tento typ útoků, nicméně to bude pravděpodobně otázka delšího času.










Komentáře