Clickjacking je nový typ nebezpečného webového útoku, který postihuje webové prohlížeče, servery, aplikace i některé rozšířené plug-iny. Jak se projevuje a jakým způsobem se proti němu lze bránit?
Podstatou útoku je opravdu přimět uživatele k jedinému kliknutí – odtud název. Útočník toho nejčastěji dosahuje přes oblíbený iframe, kterým vloží do jedné stránky obsah jiné stránky. Uživatel pak klikne na určité tlačítko v domnění, že se nachází na stránce, kterou právě prohlíží. Sám o sobě vypadá takový „útok“ neškodně, nicméně například kvůli chybě v přehrávači Flash může vést až k tomu, že útočník bez vědomí uživatele změní nastavení přehrávače a ovládne na uživatelově počítači připojenou kameru nebo mikrofon, respektive je bude moci odposlouchávat.
Adobe proto až do vydání opravy doporučuje vyhnout se těmto rizikům pomocí speciálních úprav nastavení přehrávače Flash (podrobnosti Computerworld.com).
| Clickjacking znamená ovšem i zranitelnost samotných webových prohlížečů a serverů, takže potenciál útoků tohoto typu je značně široký. Nejobecněji by se dalo říci, že zranitelné jsou zejména bohaté webové aplikace. Někdy není ke zneužití podle všeho potřeba ani iFrame, někdy se využívá JavaScript, někdy CSRF. Některé typy útoků jsou závislé na konkrétní verzi prohlížeče, jiné nikoliv. Scénářů útoku neustále přibývá (Ha.ckers.org), naštěstí většina z nich se alespoň prozatím zdá být spíše teoretických. |
Mozilla v reakci na toto nebezpečí vydala doplněk pro Firefox nazvaný NoScript, který je momentálně ve verzi 1.8.2.8 (odkaz ke stažení je zde), jenž má za úkol blokovat nebezpečné scripty a tím i tento typ útoků. Funguje navíc i s prohlížeči Flock a SeaMonkey, které jsou postavené na enginu od Mozilly. Nicméně bezpečnostní expert Giorgio Maone říká, že spíše než spoléhat se na blokování nejrůznějších oken by bylo vhodné vyvinou speciální typ pokročilejší ochrany pro tento typ útoků, nicméně to bude pravděpodobně otázka delšího času.
PŘEDPLATNÉ
ČLÁNKY DO MAILU