Clickjacking

DragonJAR 336x280 Clickjacking

es el tema “de moda”, una descubierta por Jeremiah Grossman y Robert Hansen que afecta a TODOS los actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar una sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.

musclick1sc1 Clickjacking

El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.

Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.

Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.

Algunas cosas que podemos hacer para protegernos:

  1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
  2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
  3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
    • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
    • Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
  4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Para Mas Información:
Clickjacking
Adobe Product Security Incident Response Team (PSIRT)
Clickjacking: ¿un secreto a voces?
Clickjacking
Clickjacking and NoScript


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • http://www.exactlimon.com exactlimon

    jummm, grave el asunto entonces..

    ser a ponernos a usar lynx.

    gracias dragon

  • http://www.exactlimon.com exactlimon

    pero ahora que analizo mas detenidamente las cosas, uno si pensaria que es por javascript, porke al fin y al cabo navegadores como Lynx, funcionan es por la consola…

    y yo creo que tocaria mirar diferencias fuertes entre los navegadores de entorno grafico y los de consola para poder comprender mejor la vulnerabilidad

  • fordmadox

    …..Seria bueno tener una idea mas clara de como realizar este tipo de ataques, que herramientas son usadas y como protegerse ….alguien tiene alguna idea de ello

  • LEBRON

    pues sera esperar y aprender mas a protegernos

  • http://notengo Noodle

    es un tema antiguo , aunque es bueno que las personas lo conoscan ;) . La unica solucion es mejorar los navegadores ;)

  • neherepe

    pueden ayudarne creo que alguien se apodero de mi maquina, no puedo apagarla, no puedo reiniciarla en modo seguro y no puedo ingresar a ninguna pagina que diga antivirus

  • Pingback: Top 10 Técnicas de Seguridad Web en el 2009

  • Pingback: Un caso de clickjacking « Matachana's Blog

  • Pingback: El vídeo de la ballena del tsunami es una estafa :Fábulas y leyendas urbanas