Clickjacking

27 septiembre 2008 9 Comentarios


es el tema “de moda”, una descubierta por Jeremiah Grossman y Robert Hansen que afecta a TODOS los actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar una sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.

musclick1sc1 Clickjacking

El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.

Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.

Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.

Algunas cosas que podemos hacer para protegernos:

  1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
  2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
  3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
    • Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
    • Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
  4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Para Mas Información:
Clickjacking
Adobe Product Security Incident Response Team (PSIRT)
Clickjacking: ¿un secreto a voces?
Clickjacking
Clickjacking and NoScript

Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra FanpageSiguenos en Twitter

También puede interesarte...

Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Artículos sobre seguridad, Seguridad Web
, , , ,

Acerca de DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Consultor Independiente de Seguridad Informática con más de 7 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Speaker y Organizador de diferentes eventos de Seguridad Informática y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.
Ver todos los artículos de DragoN

9 Respuestas para “Clickjacking”

  1. exactlimon Responder 27 septiembre 2008 en 12:14 PM
    jummm, grave el asunto entonces..

    ser a ponernos a usar lynx.

    gracias dragon

  2. exactlimon Responder 27 septiembre 2008 en 12:23 PM
    pero ahora que analizo mas detenidamente las cosas, uno si pensaria que es por javascript, porke al fin y al cabo navegadores como Lynx, funcionan es por la consola…

    y yo creo que tocaria mirar diferencias fuertes entre los navegadores de entorno grafico y los de consola para poder comprender mejor la vulnerabilidad

  3. fordmadox Responder 28 septiembre 2008 en 1:03 PM
    …..Seria bueno tener una idea mas clara de como realizar este tipo de ataques, que herramientas son usadas y como protegerse ….alguien tiene alguna idea de ello
  4. LEBRON Responder 29 septiembre 2008 en 7:29 PM
    pues sera esperar y aprender mas a protegernos
  5. Noodle Responder 1 octubre 2008 en 10:09 AM
    es un tema antiguo , aunque es bueno que las personas lo conoscan ;) . La unica solucion es mejorar los navegadores ;)
  6. neherepe Responder 1 octubre 2008 en 11:14 PM
    pueden ayudarne creo que alguien se apodero de mi maquina, no puedo apagarla, no puedo reiniciarla en modo seguro y no puedo ingresar a ninguna pagina que diga antivirus

Trackbacks/Pingbacks

  1. Top 10 Técnicas de Seguridad Web en el 2009 - 13 enero 2010
    [...] de WhiteHatSec, Jeremiah Grossman, reconocido en el mundo de la seguridad informática, por sus aportes en el campo de la seguridad web, ha publicado en su blog una entrada llamada “Top Ten Web [...]
  2. Un caso de clickjacking « Matachana's Blog - 26 octubre 2010
    [...] que es una estafa pero no lo justifico. ¿Acaso considero una estafa hacer clickjacking? No. El clickjacking, usado por esta web para transmitirse de manera vírica por Facebook, en este caso no es la estafa. [...]
  3. El vídeo de la ballena del tsunami es una estafa :Fábulas y leyendas urbanas - 2 mayo 2011
    [...] Clickjacking es el tema “de moda”, una vulnerabilidad descubierta por Jeremiah Grossmannavegadores y Robert Hansen que afecta a TODOS los actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar una sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.(Dragonjar) [...]

Dejar un Comentario