Félrekattintások – új veszély bukkant fel az Interneten

Minden ismert böngészőt – Internet Explorer, Firefox, Safari, Opera, Google Chrome – érint a clickjacking, jelentették be nemrég IT-biztonsággal foglalkozó kutatók. Az OWASP AppSec 2008 konferencián ismertetésre került veszélyről Robert Hansen, a SecTheory alapítója és vezérigazgatója számolt be. Hansen az úgynevezett cross-site kérelmekhez hasonlította a clickjackinget, azzal a különbséggel, hogy a veszélyes, site-ok közötti kereszthivatkozást kiküszöbölni képes védelmi technikák teljes mértékben hatástalanok az új fenyegetéssel szemben.

„Az a probléma, hogy azok az emberek, akik rengeteg időt töltöttek el azzal, hogy hatásos védelmet hozzanak létre a cross-site sebezhetőségek ellen, nem látták előre a clickjacking eljövetelét. Ez teljesen másként működik, és sokkal szélesebb kőrű a hatása. A támadók anélkül érhetik el egy [például űrlapon vagy weboldalon található] gomb megnyomását, hogy ehhez valóban ott kattintana a felhasználó.”

Jeremiah Grossman, Hansen kutatótársa, és egyben a Whitehat Security vezető alkalmazottja, részletekbe menően ismertette a jövőben várható clickjacking sérülékenységeket. Elmondása szerint bármilyen website-on, legyen az külső vagy belső, található gomb veszélyessé válhat. Reklámcsíkok, digg gombok, banki tranzakciók stb., a lista elméletileg végtelen. Képzeljük csak el, mekkora veszélyt jelent, hogy a felhasználó olyan helyen kattint, ahol láthatólag semmi veszélyes nincs – pedig az egérmutató alatt ott lapul egy szemmel nem látható kattintási felület, amire klikkelve teljesen más hatás következik be, mint amit a felhasználó vár.