Clickjacking nadal pozostaje problemem

Producenci przeglądarek wciąż nie znaleźli skutecznej ochrony przeciwko atakom typu clickjacking. Polegają one na tym, że zmanipulowana strona podsuwa pod kursor myszki np. przezroczystą ramkę - użytkownik poprzez nią tak naprawdę uaktywnia element znajdujący się w przejrzystej ramce, w której załadowano zawartość zupełnie innej strony.

"Porywanie kursora" - to nadal ogromne zagrożenie  fot. Rodolfo Clix
"Porywanie kursora" - to nadal ogromne zagrożenie fot. Rodolfo Clixstock.xchng

Opublikowane właśnie demo Izraelczyka Shlomiego Narkolayeva przedstawia problem na przykładzie Facebooka - w przekonaniu, że klika niegroźny odsyłacz na stronie, internauta może tak naprawdę dodać do swojego konta aplikację. W tym celu ofiara musi być zalogowana do Facebooka, co obecnie nie jest rzadkością.

Podobne ataki w ubiegłym roku pojawiły się także na Twitterze. Tego rodzaju metody przypominają wprawdzie w swoich skutkach inne ataki, tzw. Cross-Site Request Forgery (CSRF/XSRF), ale w tym przypadku chodzi jednak o zasadniczo odmienną metodę. Clickjackingu nie da się ot tak wyeliminować. W przypadku ataków CSRF wystarczy, aby serwer umieszczał w łańcuchach URL niedający się przewidzieć i powiązany z użytkownikiem token i wtedy potencjalne ataki przestaną być groźne. Przy atakach clickjacking czegoś takiego nie da się wymóc za pomocą ustawień serwera.

Według relacji amerykańskich mediów, Facebook zamierza walczyć z tego typu atakami, używając czarnych list, które będą miały na celu zapobieganie rozprzestrzenianiu się linków do spreparowanych stron we własnym systemie. To jednak nie rozwiązuje właściwego problemu. W gruncie rzeczy problem clickjackingu, znany na szerszą skalę już od ponad roku, dotyczy wielu innych stron i ich użytkowników.

W przeglądarce Firefox clickjacking rozpoznaje i blokuje wtyczka NoScript. Na "porywanie kliknięć" zasadniczo narażony jest także Internet Explorer, ale w wersji 8 przeglądarki Microsoft wprowadził już funkcję zabezpieczającą, tyle że działa ona tylko pasywnie. Serwer strony godnej zaufania musi wysłać do przeglądarki dodatkowy nagłówek X-FRAME-OPTIONS: DENY, aby uniemożliwić w ten sposób wyświetlanie strony w ramce. W ten sposób nie można też niepostrzeżenie wsunąć innej zawartości pod spreparowaną stronę.

Jednak taka ochrona nie działa, jeśli strona sama nie wysyła do przeglądarki stosownych sygnałów. Nie wiadomo, w jakim stopniu operatorzy serwerów webowych albo twórcy interfejsów sieciowych wykorzystują ten własnościowy dodatek Microsoftu do nagłówka.

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas