Clickjacking: budeme se bát?

Ostatní | 09.12.08

Clickjacking představuje nebezpečí pro každého uživatele, který pro prohlížení internetu používá některý z rozšířenějších internetových prohlížečů. Bohužel není vůbec snadné se clickjackingu vyhnout.





Nebezpečí při brouzdání na internetu není zas až tak málo – počítejte s námi: phishing, botnety, drive-by downloady (stažení softwaru do počítače bez našeho vědomí) a spousty dalších podvodných útoků vedených na váš počítač připojený k internetu. Zkrátka řečeno všech výše uvedených rizik by si měl být uživatel vědom vždy, když se připojí k internetu. Nicméně většina nebezpečí, která při pohybu na internetu hrozí, má něco společného – dá se jim vyhnout, pokud zaměříte na to, které stránky přesně navštěvujete a na které odkazy klepete.




Nyní se objevuje další a zcela nová hrozba – clickjacking. Ohroženou skupinou jsou všichni uživatelé internetu, kteří používají některý z nejrozšířenějších internetových prohlížečů. A co je ještě horší, této hrozbě se nelze jen tak snadno vyhnout.
Clickjacking není úplnou novinkou, mluvilo se o něm už před několika lety. Za jeho návrat na scénu mohou dva výzkumní pracovníci zabývající počítačovou bezpečností – Robert Hansen a Jeremiah Grossman, kteří v září varovali před novými možnostmi zneužití clickjackingu, jež by vedlo k ohrožení bezpečnosti uživatelů či k nezákonnému výběru peněz z bankovních účtů napadených uživatelů.

Princip spočívá ve zneužití jedné z klíčových funkcí jazyka HTML, která umožňuje webovým místům vkládat obsah z jiných webových stránek. Vzhledem k této povaze clickjackingu jsou tak ohroženy prakticky všechny internetové prohlížeče.

Klikněte na tlačítko

Clickjacking spočívá v obalamutění uživatele takovým způsobem, že jej donutí klepnout v internetovém prohlížeči na nějaký zdánlivě neškodný internetový odkaz. Tento odkaz může mít třeba podobu tlačítka pro odeslání příspěvku do služby Digg – webového prostoru pro sdílení obsahu od uživatelů z celého světa.


V říjnu se izraelskému výzkumnému pracovníkovi Guy Aharonovskemu podařilo provést ukázku konkrétního nasazení clickjackingu. Dokázal totiž naprosto nepozorovaně resetovat nastavení soukromí v programu Adobe Flash a tajně zapnout webovou kameru a mikrofon, takže mohl nepozorovaně sledovat činnost uživatele.

Firma Adobe již dříve kontaktovala pány Hansena a Grossmana, aby ji seznámili s výsledky dosaženými při výzkumu clikjackingu, a zároveň dala zelenou k tomu, aby publikovali podrobnosti svých zjištění. Hansen tak na svém blogu publikoval 12 různých scénářů využívajících clickjacking.

„Tento seznam samozřejmě neobsahuje všechny existující pluginy, které jsou tímto typem útoku ohroženy a samozřejmě zde nejsou ani všechny prohlížeče nebo všechny internetové stránky,“ říká Hansen.

„Existuje několik druhů clickjackingu. Některé z nich překrývají celé stránky, jiné používají iFrames, aby vás donutily klepnout pouze na jedno místo. Některé z nich vyžadují pomoc JavaScriptu, jiné nikoliv.“

Na druhou stranu ovšem Hansen s Grossmanem jedním dechem dodávají, že není žádný důvod k panice a že clickjacking neznamená, že by měl být internet nebezpečnější než kdykoliv předtím.

„Pokud budeme předpokládat, že je většina webových aplikací zranitelná nějakým útokem vedeným z internetu – a všichni víme, že to tak je – pak clickjacking situaci zhoršuje. Nicméně situace je již tak jako tak špatná, a na tom clickjacking stejně nic nezmění,“ říká Hansen.

„Chceme v první řadě ukázat, že si nemyslíme, že je to taková chyba, že by kvůli ní mohl nastat konec světa. Na druhou stranu je zde další možnost zneužití počítačů napadených uživatelů, například vzdálené sledování uživatelů webovou kamerou či nevědomé donucování lidí k tomu, aby odesílali útočníkům peníze ze svých bankovních účtů.














Komentáře