Clickjacking – zagrożenie dla użytkowników wszystkich przeglądarek?

Blog ZeroDay doniósł o niepokoju, który szerzy się wśród specjalistów w dziedzinie bezpieczeństwa internetowego. Jego źródłem jest odkrycie luki w przeglądarkach, która pozwala atakującemu na przejęcie kontroli nad linkami znajdującymi się na odwiedzanych przez użytkownika stronach. Cyberprzestępca może wymusić kliknięcie dowolnego obiektu na odpowiednio spreparowanej stronie, mimo że użytkownik niczego nie będzie o tym wiedział. Najgorsze, że podatność ta dotyczy wszystkich znaczących przeglądarek: Mozilla Firefoksa, Internet Explorera, Safari, Opery oraz wtyczki Adobe Flash.

Technikę ataku, której nadano nazwę „Clickjacking”, po raz pierwszy miano omówić na konferencji OWASP NYC AppSec 2008. Jednak na prośbę Adobe'a i innych deweloperów debata została odłożona do momentu, w którym znalezione zostanie jakieś rozwiązanie.

Podatność została odkryta przed dwóch amerykańskich badaczy – Roberta Hansena i Jeremiaha Grossmana. Uważają oni, że problemy, które napotkali w modelu bezpieczeństwa przeglądarek, „nie były błahe” – przeciwnie, okazały się „bardzo poważne”. Jedno odkrycie prowadzić miało do kolejnego, a poinformowani producenci dostarczali tylko łatek, które niewiele rozwiązywały. Według specjalistów problem dotyka wszystkich przeglądarek z wyjątkiem może takich programów, jak lynx czy links. Nie ma to niczego wspólnego z JavaScriptem i „wyłączanie JavaScriptu w przeglądarce nic nie pomoże”. To „fundamentalny błąd w sposobie, w jaki przeglądarka działa”, i nie można go rozwiązać za pomocą prostej łatki.

Co gorsza, przeciętny użytkownik nie ma pojęcia, co się dzieje w trakcie ataku. Najbardziej narażone na to są serwisy aukcyjne, takie jak eBay, ponieważ „można osadzić na stronach aukcji JavaScript” – jednak samo włączenie JavaScriptu wcale nie jest warunkiem koniecznym tego exploitu, a jedynie go nieco ułatwia. Konieczna do przeprowadzenia ataku jest jedynie podstawowa obsługa DHTML-a.

Więcej szczegółów technicznych odkrywcy na razie – ze zrozumiałych przyczyn – nie chcą podawać. Zarówno Microsoft, jak i Mozilla przedyskutowały problem oraz zgodziły się, że jest on poważny i nie ma dla niego łatwego rozwiązania. Autorzy odkrycia posunęli się do stwierdzenia bardzo radykalnego: „Korzystajcie z lynksa i nie dotykajcie niczego dynamicznego”.

Tymczasem Giorgio Maone, twórca rozszerzenia NoScript dla Firefoksa, poinformował, że uzyskał dostęp do szczegółowych informacji o Clickjackingu od odkrywców i potwierdza, że exploit ten „jest przerażający”. Mówi jednak, że jego rozszerzenie może być pewnym zabezpieczeniem – w ustawieniach NoScriptu należy zaznaczyć opcję Plugins | Forbid <IFRAME>.

źródło: Blogs.zdnet.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

3 skomentuj »

Komentarze

#1 Koza 2008-09-27 21:37:05 0
A tak na ludzki język? Co to może spowodować? takie przykłady prosto z życia.. nie każdy jest informatykiem T_T i nie każdy rozumie taką informację.. Wiec najlepiej używać lynksa.. ale czemu?
None
#2 beer 2008-09-27 22:29:23 0
Ot wchodzisz sobie na stronę aukcji na eBay i dowiadujesz się że właśnie zalicytowałeś samochód za parę tysięcy euro

PS. Wiem że to pewne uproszczenie tematu :P
None
#3 esia 2010-06-05 12:20:30 0
ffffffffffajnie, a google chrome?
IP: 79.110.198.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1036 Safari/532.5

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.