Clickjacking: Lo que todos callan pero muchos ya saben

Publicado el 29-9-2008 a las 13:01 por ZooTV

browsers-logos.jpgHace algunos días Jeremiah Grossman y Robert Hansen (dos tipos que saben mucho de seguridad en navegadores) se presentarían en la conferencia OWASP NYC AppSec 2008, con el objeto de discutir y develar una vulnerabilidad que afecta a casi todos los navegadores (excepto a lynx y similares). Claro que a última hora decidieron posponer su presentación, principalmente por “recomendación” de Adobe (que parece ser uno de los principales afectados).

Entonces surgen las dudas y rumores sobre el tema a tratar y éste no sería otra cosa que el Clickjacking, que en palabras bastante simples permite al creador de un sitio web hacer que el usuario pinche en cualquier vínculo, cualquier botón o en cualquier cosa de la página sin siquiera percatarse que lo hace.

En ocasiones anteriores se han presentado vulnerabilidades que afectan a diversos navegadores y que, por lo general, se solucionan con un parche. El problema del que estamos hablando parece no tener una solución tan fácil (no se podría implementar en un simple parche) y no depende de JavaScript (aunque Dicen™ que lo facilita).

Según Hansen el problema ha sido discutido tanto con Mozilla como con Microsoft y ambos han coincidido en que este es un problema bastante complicado y que no tiene una solución sencilla. En tanto Grossman confirmó que las últimas versiones de Internet Explorer y Firefox 3 se encuentran entre los navegadores afectados.

La pelota la tienen ahora las empresas detrás de los distintos navegadores.

Link: New clickjacking affects all browsers; cause remains unknown (ars technica)

Compartir Compartir
Publicado por ZooTV el 29 de September 2008 en la categoría Internet con los tags , , , , . Tiene 50 comentarios.

50 Comentarios

Clickjacking: Lo que todos callan pero muchos ya saben

Deja tu Comentario ↓

Ver Todos Páginas: 1 2 Próximos 30 Comentarios →

Ver Comentario... Pablo dijo el 29-9-2008 a las 13:10 ...

Kique

DesaprobarAprobar30 Kique dijo el 29-9-2008 a las 13:13:

2

No entendí casi nada, pero entonces ¿en donde está el problema exactamente?. Me imagino que esto del "robo de clics" propicia la aparición de publicidad no desea como los "pop-ups" que requieren un clic o algo así. Mas detalles de este asunto por favor, que si está muy interesante.

Ver Comentario... Samuel Tagle dijo el 29-9-2008 a las 13:14 ...

Luis Vera

DesaprobarAprobar16 Luis Vera dijo el 29-9-2008 a las 13:15:

4

Falta el logo de Chrome.

Psainev

DesaprobarAprobar-3 Psainev dijo el 29-9-2008 a las 13:15:

5

Interesante, pero que complicaciones podría tener “robar clicks”? y como lo hacen : S?

Parece un tema que realmente da para hablar.

Ver Comentario... Tecnometro dijo el 29-9-2008 a las 13:21 ...

Samuel Tagle

DesaprobarAprobar17 Samuel Tagle dijo el 29-9-2008 a las 13:22:

7

Sip creo que explicarse todo esto mejor que no quedo muy claro…

Ver Comentario... Kique dijo el 29-9-2008 a las 13:22 ...

Ver Comentario... DxA dijo el 29-9-2008 a las 13:24 ...

sandrups

DesaprobarAprobar3 sandrups dijo el 29-9-2008 a las 13:52:

10

claro que es interesante este tema de la seguridad de los navegadores.

Chrome no aparece en los iconos, me imagino por que todavía es un BETA. Explorer aparece 2 veces por sus 2 sabores que se usan actualmente.

Marcel Jordán G.

DesaprobarAprobar1 Marcel Jordán G. dijo el 29-9-2008 a las 13:52:

11

Esto es el apocalíptico "Botón NEXT" de las aplicaciones y por ende instala wea raras como también en las paginas al querer crear link :D, conozco muchas paginas chilenas que hacen eso, sobre todo 2 bancos :3

HURST

DesaprobarAprobar1 HURST dijo el 29-9-2008 a las 13:53:

12

Esta vulnerabilidad basicamente hace que una pagina reciba un click sin que el usuario efectivamente haga un click en su mouse. Esto puede llevar a muchos resultados: clicks en publicidad, descargas, etc.
La buena noticia es que quienes usan Firefox con la extension NOSCRIPT, estan protegidos contra los ataques mas graves, y con solo un cambio en la configuracion la proteccion llega al 100% (segun el creador de NoScript).

Mas info, para quienes saben ingles, aqui:
http://www.wilderssecurity.com/showthread.php?t=221353

Juan

DesaprobarAprobar1 Juan dijo el 29-9-2008 a las 14:00:

13

yo tampoco entendi nada…
si alguien quiere mis clics que venga por ellos!!!!
a ver si se atreven a robar mis preciosos….

asd

DesaprobarAprobar0 asd dijo el 29-9-2008 a las 14:03:

14

links y lynx r0x

Ver Comentario... Some dijo el 29-9-2008 a las 14:15 ...

Injerto

DesaprobarAprobar4 Injerto dijo el 29-9-2008 a las 14:22:

16

Yo creo que la solución estaría en mostrar siempre hacia dónde va el click. Algunos elementos tienen ONMOMUSEOVER pero no tienen HREF, y en la barra de estado éstos no aparecen, ni tampoco aparecen los destinos de los elementos que no tienen opacidad. El parche más lógico debería empezar por ahí.

Carlos

DesaprobarAprobar9 Carlos dijo el 29-9-2008 a las 14:51:

17

Entonces utilicemos LYNX, claro que el ver pestañas sera algo complejo :s

Me podrían explicar un poquito mas sencillo ( con abaco y porotitos) ¿ donde esta el problema ?

agua_light

DesaprobarAprobar3 agua_light dijo el 29-9-2008 a las 15:06:

18

y el mosaic no esta afectado? ademas… podrian poner una referencia a algunos iconos, que mas de la mitad no tengo idea de donde salieron.

y la solución: poner una opción que bloquee todas las acciones que no provengan del usuario (que se yo monitoreando la entrada de mouse o algo asi)

Kirdel

DesaprobarAprobar-6 Kirdel dijo el 29-9-2008 a las 15:15:

19

y como veria mi facebook por lynx??? con verdes y naranjos???

Fco.

DesaprobarAprobar0 Fco. dijo el 29-9-2008 a las 15:45:

20

Lo que hace el atacante es crear un botón invisible debajo del mouse, onda que cuando uno hace click sobre un botón o link que SÍ es parte de la página, uno termina haciendo click en el botón invisible creado por el atacante.

Muy peligroso…

rodo

DesaprobarAprobar-2 rodo dijo el 29-9-2008 a las 15:52:

21

bastante complejo el tema, pero en lo cotidiano, en que afecta ????

Herman

DesaprobarAprobar-2 Herman dijo el 29-9-2008 a las 16:05:

22

Lamento la actitud de estos investigadores de no dar a conocer el descubrimiento, hasta ahora lo unico que podria decir es: “ver para creer” ya han existido este tipo de “super ultra mega” vulnerabilidades para darse cuenta que en realidad no lo son tanto.

Brian

DesaprobarAprobar15 Brian dijo el 29-9-2008 a las 16:28:

23

Chrome no aparece porque la imagen fue creada antes que existiera este navegador.

De izquierda a derecha por filas los navegadores son:

- Amaya, ????, Avant Browser, Camino
- Epiphany, Firefox, Flock, Galeon
- iCab, IE7, IE6, K-meleon
- Konqueror, Maxthon, Netscape, OmniWeb
- Opera, Safari, SeaMonkey, Shiira

Que alguien me diga el nombre del navegador del segundo icono

Pero si es por flash que se presenta este problema y afecta a casi todos los navegadores, No se supone que es culpa de Adobe?

Eduardo

DesaprobarAprobar-4 Eduardo dijo el 29-9-2008 a las 16:50:

24

MMMM este post parece Copy & paste de http://www.kriptopolis.org/clickjacking

cimoc

DesaprobarAprobar14 cimoc dijo el 29-9-2008 a las 16:55:

25

Cada uno sabe dónde navega…

Esto parece concurso: El que escribe el artículo nos tira un par de pistas para que en los comentarios se complete la información y ganemos manitos verdes xD

Que se entienda, esto no es twiter!

maestroguru

DesaprobarAprobar1 maestroguru dijo el 29-9-2008 a las 17:05:

26

Podría quien publico esta noticia (ZooTV) explicar un poco más sobre el tema pq con el “en palabras bastante simples ” no se entendió nada.

1200

DesaprobarAprobar0 1200 dijo el 29-9-2008 a las 17:46:

27

Lo que yo entendí, pero con muchísimas dudas fue que en una página se pueden activar los links solos, sin que el usuario haga clic. Se necesita una aclaración.

Ya suponía que había algún problema, porque la actualización de Firefox 3.02 a la 3.03 fue muy seguida (un par de días). Pero no me imaginé que estaban involucrados todos los navegadores.

Ver Comentario... Nacho dijo el 29-9-2008 a las 18:02 ...

Herman

DesaprobarAprobar-1 Herman dijo el 29-9-2008 a las 18:09:

29

Para los que todavia no cachan que es el clickjacking: Aqui hay más info
Aunque la info es antigua no creo que sea lo mismo que hablan estos viejitos.

CVillavicencio

DesaprobarAprobar7 CVillavicencio dijo el 29-9-2008 a las 18:37:

30

$ sudo aptitude install lynx
(pa los regalones)

Ver Todos Páginas: 1 2 Próximos 30 Comentarios →

Deja tu Comentario

XHTML: Puedes usar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Previsualizar comentario?