Новые методы кликджекинга от участника конференции Black Hat

Исследователь в области компьютерной безопасности представил новый инструмент для веб-браузеров, который дает возможность экспериментировать с кликджекингом и проводить атаки нового типа.

Кликджекингом называют методику проведения атак, при которой пользователя обманным путем вынуждают активизировать скрытые элементы управления, расположенные на веб-странице. Например, спрятанные кнопки можно поместить в невидимом элементе iframe, который служит для размещения на странице объектов из сторонних источников.

Впервые широкая общественность услышала о кликджекинге в 2008 году от Роберта Хансена (Robert Hansen) и Иеремии Гроссмана (Jeremiah Grossman). Эти исследователи обнаружили данную разновидность атак с использованием Flash-приложения, которое давало злоумышленнику удаленный доступ к веб-камере и микрофону компьютера жертвы.

С того момента как создатели сайтов, так и производители браузеров начали заботиться о защите своих продуктов от такой разновидности атак, однако большая часть сайтов, по словам Пола Стоуна (Paul Stone), консультанта по вопросам безопасности компании Context Information Security, все еще остается уязвимой. В среду 14 апреля на конференции Black Hat он продемонстрировал новые приемы кликджекинга, оказавшиеся эффективными для большинства веб-сайтов и популярных браузеров.

Один из таких методов, основанный на применении программного интерфейса для перетаскивания объектов и требующий проведения социального инжиниринга, применим ко всем браузерам. Пользователя при этом вынуждают перетащить на веб-страницу какой-либо объект, что может привести к вставке текстовых данных в нужные поля. По словам Стоуна, такие атаки можно применять для рассылки писем с аккаунта пользователя или несанкционированного редактирования документов.

Другая разновидность кликджекинга используется для извлечения контента и похищения токенов, с помощью которых производится аутентификация сессий и защита от подделки межсайтовых запросов. Успешное его проведение может привести к принятию веб-приложением запроса от вредоносного сайта.

Кроме того, Стоун представил инструмент, который можно использовать для самостоятельной реализации описанных техник. Эта программа представляет собой браузерное приложение, работающее в двух режимах: открытый демонстрирует все этапы осуществления атаки, а скрытый режим позволяет взглянуть на нее глазами жертвы. Приложение находится в стадии бета-версии и пока совместимо лишь с Firefox 3.6, однако Стоун уверяет, что поддержка других браузеров будет реализована в скором времени.