Banner 1

Clickjacking

Publicado por Unknown en 9:22 domingo, 5 de octubre de 2008 Etiquetas: , ,

Hola, Ultimamente hemos escuchado mucho sobre este tema y la conclusion era que para este tipo de ataque no habia solucion.

El clickjacking promete ser el nuevo tema de moda en la red, lo que me recuerda al reciente caso de Kaminsky.

Resumiendo y mucho, porque no hay mucho que decir al respecto, dos investigadores, Jeremiah Grossman y Robert Hansen, han descubierto un vector de ataque que, aparentemente, afecta a multitud de navegadores y otros productos Web, y mediante el cual sería posible que los usuarios efectuasen, entre otras lindezas, clicks o pulsaciones en enlaces sin tan siquiera saberlo. Según lo que se puede leer, es un problema que ni depende de los productos de navegación ni de la presencia de JavaScript, lo que lo convierte en un problema, de llegar a confirmarse, de muy alto impacto, y que habilitaría mecanismos para la ejecución masiva de, entre otros, fraudes basados en pulsaciones no voluntarias sobre enlaces comerciales (click fraud)

Esta vulnerabilidad parece afectar especialmente a los productos de Adobe, hasta tal punto que han solicitado que la charla en OWASP AppSec, donde se iban a relatar los hechos, se aplace hasta que exista un análisis completo de la situación. De momento, la postura oficial de los investigadores es la de guardar silencio, actitud que me parece prudente si efectivamente se trata de un problema multiproducto y con difícil solución.

Además de mucha especulación, sólo tenemos, como información destacable, la opinión de Zalewski y la del creador de NoScript (que parece no ayudará en este caso). Hay más opiniones y noticias a lo largo y ancho de la Web.

Breve descripcion del ataque:

on esta vulnerabilidad un atacante puede forzar a hacer click en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.

Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.

Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.

Algunas cosas que podemos hacer para protegernos:

  1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
  2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
  3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
    • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
    • Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
  4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Un saludo,


referencias: la web del dragon , sahw.com/

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Powered by Bad Robot
Helped by Blackubay