Clickjacking Publicada por DragoN en Artículos sobre seguridad, Seguridad Web .
Clickjacking es el tema “de moda”, una vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen que afecta a TODOS los navegadores actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar una sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.
El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer click en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.
Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.
Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.
Algunas cosas que podemos hacer para protegernos:
- Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
- Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
- Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
- Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
- Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
- Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.
Para Mas Información:
Clickjacking
Adobe Product Security Incident Response Team (PSIRT)
Clickjacking: ¿un secreto a voces?
Clickjacking
Clickjacking and NoScript
Septiembre 27th, 2008 at 12:14 PM
jummm, grave el asunto entonces..
ser a ponernos a usar lynx.
gracias dragon
Septiembre 27th, 2008 at 12:23 PM
pero ahora que analizo mas detenidamente las cosas, uno si pensaria que es por javascript, porke al fin y al cabo navegadores como Lynx, funcionan es por la consola…
y yo creo que tocaria mirar diferencias fuertes entre los navegadores de entorno grafico y los de consola para poder comprender mejor la vulnerabilidad
Septiembre 28th, 2008 at 1:03 PM
…..Seria bueno tener una idea mas clara de como realizar este tipo de ataques, que herramientas son usadas y como protegerse ….alguien tiene alguna idea de ello
Septiembre 29th, 2008 at 7:29 PM
pues sera esperar y aprender mas a protegernos
Octubre 1st, 2008 at 10:09 AM
es un tema antiguo , aunque es bueno que las personas lo conoscan
. La unica solucion es mejorar los navegadores 
Octubre 1st, 2008 at 11:14 PM
pueden ayudarne creo que alguien se apodero de mi maquina, no puedo apagarla, no puedo reiniciarla en modo seguro y no puedo ingresar a ninguna pagina que diga antivirus