Clickjacking é uma espécie de "seqüestro" do clique do usuário que, percebendo ou não, clica em um link - que pode estar invisível - inserido em um site por meio de uma falha considerada 'zero day', presente no Internet Explorer, Firefox, Safari, Opera, Google Chrome e outros. O bug afeta também o Flash, da Adobe.
Os pesquisadores que apresentaram suas descobertas mantiveram suas informações confidenciais - de propósito - pelo menos até que um fabricante comece a trabalhar na correção.
Embora o ataque esteja associado a navegadores, o problema é mais profundo, segundo Robert Hansen, fundador e CEO da SecTheory LLC e um dos dois pesquisadores que discutiram o bug durante a AppSec 2008, realizada na quarta-feira (24/09).
Há boatos, inclusive, de que a falha esteja associada ao Flash, o "onipresente" player multimídia da Adobe que a maioria dos usuários executa como plug-in em seus navegadores. Não é preciso comprometer um site legítimo para conduzir este ataque.
Hansen considera o clickjacking similar aos pedidos falsos de sites, um tipo conhecido de vulnerabilidade que surge por um ataque de cross-site request forgery (CRSF), quando comandos não-autorizados são transmitidos por um usuário que o site confia. O clickjacking, contudo, é diferente o bastante para que os anti-CRSF dos navegadores, sites e aplicativos online se tornem inúteis.
"Quase todos são afetados pela ameaça", disse Hansen. "O problema é que muitas pessoas que levam muito tempo para se defender contra os pedidos falsos dos sites, e não vêem o ataque acontecendo. Ele tem um alcance muito mais amplo, fazendo usuários clicar em um botão de forma que não conseguiriam pelo JavaScript".
O parceiro de Hansen na pesquisa, Jeremiah Grossman, chefe de tecnologia do WhiteHat Security Inc., explicou como crackers podem explorar as vulnerabilidades do clickjacking.
"Pense em qualquer botão de qualquer site, interno ou externo", disse Grossman. "Ligações em transferências bancárias, botões do Digg, banners publicitários, etc. A lista é interminável e estes exemplos são relativamente inofensivos. Em seguida, considere que um ataque pode pairar invisivelmente sob estes botões abaixo do mouse. Quando o usuário clica em algo que está vendo, na verdade, está clicando em algo que o cracker quer que ele clique".
Hansen acrescenta que "se você tiver um roteador sem fio em casa autenticado antes de visitar um site legítimo, o cracker poderia colocar uma etiqueta sob seu mouse que forje um único botão, podendo deletar todas as regras do seu firewall. Isso facilita o ataque".
Há duas possíveis soluções para o problema de clickjacking, mas apenas uma faz sentido. "As únicas pessoas que poderiam corrigir esse problema são os desenvolvedores de browsers", disse Hansen.
Ele e Grossman entraram em contato com a Microsoft, Mozilla e Apple, fabricantes do IE, Firefox e Safari, respectivamente. Juntas, essas companhias somam mais de 98% de participação no mercado de navegadores, segundo a Net Applications.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário