In fiecare zi dam click pe ceva din browser. Poate fi un simplu buton „Yes”, pentru a accepta termenii de utilizare a unui site, sau un buton de „Submit”, pentru a trimite datele de autentificare ale unui cont. Dar stii pe ce dai click? Daca nu esti atent ai putea deveni victima unui nou tip de atac numit clickjacking.

„Aceasta vulnerabilitate da unui hacker posibilitatea de a prelua clickurile unui utilizator si de a face ilegalitati, de la modificarea setarilor browserului la redirectionarea catre un site cu virusi”, a spus Jeff Moss, fondatorul Black Hat, un cercetator care studiaza problema.

Un atacator ar putea implementa un buton dedesubtul sau deasupra unui buton legitim, fiind imposibil de observat sau detectat.

Jeremiah Grossman, expert in securitate, a dezvaluit, de asemenea, o modalitate de atac care permite hackerilor sa acceseze in mod secret microfonul unui vizitator de pe un site sau chiar acces la fisierele din calculatorul lui, prin introducerea unui buton Adobe Flash, care activeaza un set de instructiuni de acces la clickul utilizatorului.

Printre site-urile afectate de re-clame Flash care se folosesc de aceasta tehnica se numara site-uri de stiri ca MSNBC.com si Newsweek.com, cat si Digg.com, o retea sociala foarte populara.

Potrivit datelor, platforma Flash nu e singura modalitate. Atacul poate fi realizat si prin intermediul comenzii HTML iframe, care poate include continut strain intr-o pagina legitima.

In acest moment, cea mai populara modalitate de raspandire a acestui tip de atac este prin reclamele Flash, acestea reusind sa treaca de barierele automate ale advertiserilor si sa ajunga pe o serie de site-uri legitime, deseori foarte populare, cu care acestia au contract.

Cine poate rezolva problema definitiv

Se pare ca problema nu este una noua. Mozilla a lansat saptamana trecuta un patch pentru o vulnerabilitate de clickjacking din Firefox, care era o varianta a unui exploit similar rezolvat de Microsoft in 2003, apoi din nou in 2004.

Grossman a contactat Microsoft, Mozilla si Apple, care impreuna cumuleaza 98% din piata browserelor, intr-o incercare de a rezolva cat mai rapid problema. „Toata lumea lucreaza la o solutie”, a spus acesta, declarand insa ca e nesigur de modul in care prioritizeaza fiecare companie problema.

Solutia pe termen scurt

Avand in vedere modul de propagare al acestor tipuri de atacuri, locatia geografica sau browserul folosit nu sunt relevante, atacul fiind de neoprit fara masuri de securitate specifice.

Una dintre solutiile care te pot proteja de clickjacking este folosirea unui browser text, cum e Lynx, insa lipsa afisarii imaginilor poate fi o problema pentru unii utilizatori. Clickjackingul nu merge folosind Lynx, fiindca nu exista continut grafic desupra caruia atacatorul sa afiseze propriul cod.

O metoda mult mai eficienta pentru a evita compromiterea sistemului este folosirea browserului Firefox cu pluginul NoScript, o extensie care filtreaza si blocheaza continutul Flash si Javascript. Pluginul este disponibil pe addons. mozilla.org/firefox/. Potrivit informatiilor puse la dispozitie de Microsoft, Internet Explorer 8, care va fi lansat in 2009, va adresa aceasta problema, limitand accesul pluginurilor, cum ar fi Flash, in functie de alegerea utilizatorului, pentru fiecare site vizitat in parte.