Black Hat: Výzkumník ukázal zcela nové techniky clickjackingu

Společně s detaily o čtyřech nových technikách clickjackingu byl uvolněn i nástroj pro experimentování s těmito útoky nové generace.


Označení clickjacking se používá pro takový typ útoků, kdy je uživatel pomocí nejrůznějších triků (např. herních aplikací) donucen ke kliknutí na určitou část webové stránky. Útočník toho nejčastěji dosahuje přes oblíbený iframe, kterým vloží do jedné stránky obsah jiné stránky. Tvůrci webových prohlížečů (např. IE8 či Safari 4 a vyšší) se proti clickjackingu brání tím, že podporují HTTP hlavičku X-Frame-Options, která zobrazení stránky v rámu zabrání.

Známým se tento útok stal v roce 2008 poté, co Robert Hansen a Jeremiah Grossman upozornili na chybu ve flash aplikaci, která útočníkovi poskytovala vzdálený přístup k webkameře či mikrofonu postiženého. „Od té doby učinili vývojáři v této oblasti velký pokrok, nicméně většina webových stránek stále není dostatečně chráněných,“ uvedl ve svém prohlášení Paul Stone, bezpečnostní konzultant u Context Information Security (CIS), který v tomto týdnu na konferenci Black Hat představil hned čtyři nové druhy clickjackingu.

Všechny nové techniky jsou podle něho poměrně efektivní. „Využití je možné ve více oblastech. Například k posílání falešných emailů z uživatelova účtu či k editaci dokumentů,“ uvádí Stone. Velký problém vidí také v sociálních sítích - Facebook ani Twitter hlavičku X-Frame-Options nepoužívají a za efektivní Stone nepovažuje ani JavaScript.

Stone také vytvořil nástroj, díky kterému si vývojáři o nových technikách mohou udělat lepší obrázek. Přesně uvidí, jak daný útok probíhá, a to z pohledu útočníka i oběti. Aplikace je zatím v beta verzi a funguje pouze s prohlížečem Firefox 3.6. Stone nicméně pracuje i na kompatibilitě s dalšími prohlížeči. Nástroj je volně k dispozici na webových stránkách CIS.











Komentáře