Исследователи вопросов компьютерной безопасности представили новый инструментарий на основе браузера, который может пригодиться при изучении следующего поколения атак, нацеленных на "угон кликов" (так называемый клик-джекинг, clickjacking).
Клик-джекингом называются атаки, провоцирующие пользователя щелкнуть мышью в определенной части веб-страницы и активизировать скрытую кнопку, запускающую вредоносный сценарий. Скрытые кнопки представляют собой невидимый элемент iFrame, позволяющий загружать на целевой сайт внешнюю информацию.
О клик-джекинге стало известно в 2008 году, когда исследователи Роберт Хансен и Еремия Гроссман обнаружили разновидность атак через Adobe Flash, с помощью которых злоумышленник получал доступ к веб-камере и микрофону жертвы.
"С этого момента владельцы сайтов и разработчики браузеров начали предпринимать меры, чтобы обезопасить своих пользователей от таких атак, однако очень многие сайты по-прежнему остаются незащищенными", -- сообщил Пол Стоун, консультант по вопросам безопасности компании Context Information Security. На недавней конференции Black Hat Стоун перечислил четыре новых типа клик-джекинга, позволяющие эффективно преодолевать защиту большинства сайтов и браузеров.
В ходе демонстрации Стоун использовал функции API, с помощью которых во всех браузерах реализована технология буксировки. Задействуя методы социальной инженерии, пользователей провоцируют перетащить на веб-страницу какой-то элемент и вставить текст в поля формы.
"Нужного для себя результата злоумышленники могут добиться самыми разными способами, -- заметил Стоун. -- Например, отправить поддельное письмо с электронного адреса пользователя. Или предложить ему заполнить какие-то веб-формы".
Стоун продемонстрировал также клик-джекинг с извлечением контента. Такую атаку можно использовать для похищения идентификационной информации и подделки межсайтовых запросов (Cross-Site Request Forgery, CSFR). В последнем случае веб-приложение принимает запрос с вредоносного сайта.
Для выявления новых разновидностей клик-джекинга Стоун предложил разработчикам использовать специальный инструмент. Загрузить его можно с сайта Context Information Security.
Инструмент представляет собой приложение на основе браузера. Оно поддерживает режим "видимого" воспроизведения, позволяющий увидеть, как работает атака, и "скрытый" режим, в котором атака представлена с точки зрения жертвы. В настоящее время бета-версия инструмента поддерживает браузер Firefox 3.6, однако разработчики планируют обеспечить совместимость и с другими браузерами.
Недавно Стоун выявил две уязвимости браузеров к клик-джекингу: одну -- в Internet Explorer и одну -- в Firefox. Обе эти бреши уже закрыты с помощью обновлений. Кроме того, поставщики браузеров внедряют в свои продукты и другие средства защиты от клик-джекинга.
Браузеры Internet Explorer 8, Safari версии 4 и старше, а также Chrome версии 2 и старше успешно распознают заголовки HTTP X-Frame-Options. Если на веб-странице присутствуют такие тэги, браузеры блокируют обработку фрейма, инициирующего атаку клик-джекинга. Разработчики Mozilla планируют интегрировать соответствующую функцию в следующую версию Firefox.
Для маскировки контента и предотвращения отображения страницы внутри фрейма сайты могут использовать сценарии JavaScript. По словам Стоуна, Facebook и Twitter используют JavaScript, но не используют X-Frame-Options. Однако применение одних лишь сценариев JavaScript недостаточно эффективно.