Clickjacking to atak polegający na oszukaniu osoby przeglądającej stronę i przejęcie kontroli nad jej komputerem. Atakujący umieszcza na stronie niewidoczne przyciski w pływającej ramce iframe, których kliknięcie powoduje wykonanie złośliwego kodu.

Ta forma ataku zdobyła rozgłos w 2008 roku kiedy to dwóch badaczy, Robert Hansen oraz Jeremiah Grossman odkryli, że tego typu atak z udziałem wtyczki Adobe Flash daje możliwość zdobycia zdalnego dostępu do ofiary kamery internetowej i mikrofonu.

Paul Stone, konsultant ds. bezpieczeństwa w Context Information Security, powiedział że od tego czasu wiele stron internetowych oraz twórców przeglądarek internetowych poczyniło kroki aby ustrzec swoich użytkowników przed tego typu atakami. Mimo tego typu działań nadal wiele stron pozostaje podatna na to zagrożenie. Badacz odkrył też cztery nowe techniki. W miniony wtorek przedstawił je na konferencji The Black Hat, informując, że są skuteczne na większości stron, a także działają w praktycznie każdej przeglądarce.

Badacz zaprezentował jedną z metod ataku. Wykorzystał do tego funkcję API "przeciągnij i upuść", dostępną w każdej nowoczesnej przeglądarce internetowej. "W Sieci można znaleźć obecnie wiele stron pozwalających na personalizację strony według własnego uznania. (...) użytkownik przenosząc element na stronie może spowodować wykonanie odpowiedniego kodu". Jak twierdzi Stone, istnieje wiele możliwości wykorzystania tego typu ataku. Można np. wysłać fałszywy e-mail poprzez konto ofiary czy też dokonać edycji dokumentów, które ma otwarte w przeglądarce.

Ston przedstawił również content-extraction clickjacking attack, który można wykorzystać w celu kradzieży haseł i kodów używanych do uwierzytelniania oraz mających na celu zabezpieczenie przed atakami CSRF (cross-site request forgery).

Opracowane przez niego narzędzie pozwala na przetestowania nowych rodzajów ataku. Pokazuje ono, w jaki sposób działa atak. Posiada także tryb "hidden" dzięki, któremu można obejrzeć wszystko z perspektywy ofiary ataku. Obecnie jest ono w wersji beta oraz działa jedynie z Firefox 3.6, jednak trwają już pracę aby narzędzie to działało ze wszystkimi przeglądarkami. Można pobrać je tutaj.

Stone niedawno odkrył również dwie poważne luki, umożliwiające ataki typu clickjacking w Internet Explorerze oraz Firefoksie (zostały one już załatane). Twórcy przeglądarek wprowadzili również wprowadzili unowocześnienia w systemach ochrony przed tego rodzaju atakami. Dodatkowo Internet Explorer 8, Safari w wersji 4 i wyższej oraz Chrome od wersji 2 rozpoznają nagłówki HTTP zwane X-Frame-Options. Do czasu pojawienia się tego nagłówka, przeglądarki blokują ładowanie się elementów strony znajdujących się w ramkach. Mozilla poinformowała, że zamierza w nadchodzących wersjach Firefoksa również wprowadzić to zabezpieczenie.

Źródło: ITWorld.com