Clickjacking: Nová kategorie zranitelností

Podstatou útoku je opravdu přimět uživatele k jedinému kliknutí – odtud název. Útočník toho nejčastěji dosahuje přes oblíbený iframe, kterým vloží do jedné stránky obsah jiné stránky. Uživatel pak klikne na určité tlačítko v domnění, že se nachází na stránce, kterou právě prohlíží.



Clickjacking je nová kategorie zranitelností, které se v posledních dnech americký Computerworld věnoval několikrát. Postihuje webové prohlížeče, servery, aplikace i některé rozšířené plug-iny.

Podstatou útoku je opravdu přimět uživatele k jedinému kliknutí – odtud název. Útočník toho nejčastěji dosahuje přes oblíbený iframe, kterým vloží do jedné stránky obsah jiné stránky. Uživatel pak klikne na určité tlačítko v domnění, že se nachází na stránce, kterou právě prohlíží. Sám o sobě vypadá takový „útok“ neškodně, nicméně například kvůli chybě v přehrávači Flash může vést až k tomu, že útočník bez vědomí uživatele změní nastavení přehrávače a ovládne na uživatelově počítači připojenou kameru nebo mikrofon, respektive je bude moci odposlouchávat.
Adobe proto až do vydání opravy doporučuje vyhnout se těmto rizikům pomocí speciálních úprav nastavení přehrávače Flash (podrobnosti Computerworld.com).
Clickjacking znamená ovšem i zranitelnost samotných webových prohlížečů a serverů, takže potenciál útoků tohoto typu je značně široký. Nejobecněji by se dalo říci, že zranitelné jsou zejména bohaté webové aplikace. Někdy není ke zneužití podle všeho potřeba ani iFrame, někdy se využívá JavaScript, někdy CSRF. Některé typy útoků jsou závislé na konkrétní verzi prohlížeče, jiné nikoliv. Scénářů útoku neustále přibývá (Ha.ckers.org), naštěstí většina z nich se alespoň prozatím zdá být spíše teoretických.
První informace o tomto druhu útoků zveřejnili Hansen a Grossman na konci září na bezpečnostní konferenci v new Yorku. Ovládnutí kamery či mikrofonu demonstroval izraelský výzkumník Guy Aharonovsky. Pro Firefox by měl být proti tomuto typu útoků již k dispozici namísto oficiální opravy od Mozilly speciální doplněk NoScript add-on.

Zdroj: Computerworld.com

Viz také:
Podvodníci zneužívají služby, kam lze vkládat Flash
Flash útočí přes otrávenou schránku










Komentáře