Przeglądarki wciąż podatne na clickjacking
Ekspert od cyberbezpieczeństwa Aditya K Sood opublikował prezentację ukazującą bezsilność dostawców przeglądarek internetowych wobec nowej metody ataku, którą w ubiegłym roku ochrzczono mianem clickjackingu.
W przypadku tej metody napastnik wykorzystuje spreparowaną stronę WWW, na której umieszcza przezroczystą ramkę (IFrame). Klikając dany obiekt witryny, niczego nieświadomy internauta wybiera elementy ukrytej ramki. Mogą nimi być na przykład przyciski pochodzące z interfejsów zarządzania, w które wyposażone są popularne routery sieci lokalnych. W ten sposób potencjalna ofiara, nie wiedząc o tym, zmienia ich konfigurację. Warunkiem koniecznym jest oczywiście wcześniejsza autoryzacja, jeśli urządzenie odpowiednio zabezpieczono.
W taki właśnie sposób działa prezentacja Sooda, który pokazał, że na clickjacking podatna jest przeglądarka Google Chrome. Niemniej załączonych przykładów można również użyć do przetestowania aktualnych wersji Firefoksa. Gdy na demonstracyjnej stronie najedziemy kursorem myszki na zamieszczony tam odnośnik, w pasku statusu wyświetla się prawidłowy adres URL (yahoo.com), jednak po kliknięciu odnośnika zostaje wywołana witryna poświęcona atakom Cross-Site Scripting (xxsed.com). Takie zachowanie przeglądarek może zostać wykorzystane przez phisherów.
Podczas krótkiego testu przeprowadzonego na przeglądarce Firefox przez redakcję heise Security, zaimplementowana we wtyczce NoScript antyjackingowa funkcja ClearClick ochroniła nas przed atakiem i program wyświetlił prawidłową stronę yahoo.com. Jednakże dodatek NoScript nie wyświetlił ostrzeżenia. Kolejny test wykazał, że już samo blokowanie JavaScriptu spełnia funkcję ochronną. Dopóki pozwalamy na wykonywanie skryptów, prezentacja działa pomimo włączonej funkcji ClearClick. Najwyraźniej wtyczka NoScript nie rozpoznaje wszystkich wariantów tej metody ataku.
Na ataki z użyciem clickjackingu podatny jest zapewne również Internet Explorer, choć demonstracyjny kod Sooda nie działa w tej przeglądarce. Microsoft planuje wprowadzić odpowiednią ochronę do wydania 8 browsera; zresztą obecna wersja Release Candidate programu jest już w nią wyposażona.
Jednak z wypowiedzi ekspertów wynika, że chodzi tu raczej o pasywne zabezpieczenie polegające na założeniu, że administratorzy stron będą rozsyłać do przeglądarek specjalny nagłówek mający zapobiegać przypadkom wykorzystania przycisków z użyciem clickjackingu.
Zdaniem Giorgio Maone, twórcy wtyczki NoScript, chodzi konkretnie o łańcuch X-FRAME-OPTIONS: DENY. Dopóki dana witryna niczego nie zasygnalizuje, ochrona nie zadziała. Nie ma co liczyć na to, że wszyscy administratorzy serwerów WWW i programiści interfejsów sieciowych będą skłonni projektować aplikacje wysyłające takie nagłówki, a więc włączona do Internet Explorera 8 funkcja ochrony przed clickjackingiem okaże się raczej bezużyteczna.
