|
|
|
Clickjacking é a nova ameaça
|
|
elhacko
09 Oct, 2008
|
|
Os pesquisadores começaram a publicar os detalhes de um novo tipo de ataque conhecido como "clickjacking", o que pode levar os usuários a sites maliciosos para enganá-los a clicar nos elementos invisíveis em um navegador web.
Jeremiah Grossman, diretor de tecnologia da White Hat Security, e o chefe executivo da SecTheory, Robert Hansen, começou a falar publicamente sobre as suas investigações sobre o que eles chamam clickjacking, na sequência da publicação de uma prova de conceito para outro pesquisador.
Clickjacking é um conjunto de diferentes técnicas de dissimulação elementos tais como caixas de diálogo e de relações, de modo que o usuário pode ser enganado para alterar as configurações de segurança ou visitar sites maliciosos, disse Grossman e Hansen.
Embora os conceitos relacionados clickjacking não são novas, os dois pesquisadores dizem ter descoberto as vulnerabilidades específicas que afectam um invulgarmente ampla gama de softwares como o Adobe Flash Player, juntamente com os browsers mais usados como Internet Explorer, Opera, Firefox e Safari.
"Existem várias variantes de clickjacking", escreveu Hansen em um blog. "Alguns deles exigem acesso entre domínios, alguns não. Sobreposição Algumas páginas completas em outra página, use algumas iframes para começá-lo a clicar em um ponto. Alguns exigem JavaScript, outros não. Algumas variantes fazer uso da CSRF para pré-carregar dados formas, alguns não. Clickjacking não cobre qualquer destes casos, em particular, mas de todos eles. "
Grossman e Hansen tinha planejado dar uma apresentação na Conferência sobre Segurança clickjacking Projeto Open Applications para a Web (OWASP), em Nova York, em setembro, mas cancelou a apresentação para permitir que desenvolvedores de software para desenvolver as suas manchas.
Na terça-feira, no entanto, o pesquisador de segurança Guy Aharonovsky publicou uma demonstração de clickjacking depois de fazer engenharia reversa para alguns dos problemas de segurança descobertos por Grossman e Hansen.
Este Hansen e Grossman deu luz verde para começar a discutir os seus resultados, de acordo com Hansen.
A descoberta "por toda a esparramadas essencialmente o uso de técnicas que mais preocupação para os investigadores", escreveu Hansen. "Felizmente, a Adobe tem vindo a trabalhar sobre este aspecto, uma vez que eles notificados, e apesar da divulgação dessas técnicas foi feita sem cuidados, a maior parte do trabalho para atenuar este efeito já está concluído no que lhes diz respeito."
Também na terça-feira, a Adobe disponibilizou uma forma de abordar as vulnerabilidades específicas demonstrada por Aharonovsky. Adobe está a preparar um patch para resolver as preocupações da maioria dos Grossman e Hansen.
Em seu blog, Hansen tinha várias variantes detalhada das vulnerabilidades na forma como o Flash Player interage com navegadores da web, incluindo os problemas com a alça de configurações de segurança do Flash Player e diversas técnicas para tornar os elementos do Flash Player vai retornar opaco ou estão cobertas com elementos do navegador.
O problema específico em pormenor por Aharonovsky envolve a manipulação do Configuration Manager permite o Flash Player e "desligar" de segurança. Um invasor poderia utilizar o ataque, por exemplo, para obter o controlo da câmara e um microfone e sistema de espionagem sobre o usuário, disse Aharonovsky.
Outros tipos de ataques clickjacking poderia ter efeitos mais graves, tais como falsificar uma ordem entre os sites (CSRF), ou disfarçar links maliciosos, de acordo com Hansen, detalhando oito problemas de segurança clickjacking diferente em seu blog.
Hansen disse que uma próxima versão do Flash Player irá lidar com o grosso das suas preocupações, embora alguns possam exigir remendos para afectado os navegadores.
Grossman afirmou que irá discutir questões relacionadas com a clickjacking Hack na Caixa conferência que terá lugar em Kuala Lumpur, Malásia, ainda este mês.
|
|
|
 |
|
Comentarios