Clickjacking: Lo que todos callan pero muchos ya saben
Publicado el 29-9-2008 a las 13:01 por 
ZooTV
ZooTV 
Hace algunos días Jeremiah Grossman y Robert Hansen (dos tipos que saben mucho de seguridad en navegadores) se presentarían en la conferencia OWASP NYC AppSec 2008, con el objeto de discutir y develar una vulnerabilidad que afecta a casi todos los navegadores (excepto a lynx y similares). Claro que a última hora decidieron posponer su presentación, principalmente por “recomendación” de Adobe (que parece ser uno de los principales afectados).
Entonces surgen las dudas y rumores sobre el tema a tratar y éste no sería otra cosa que el Clickjacking, que en palabras bastante simples permite al creador de un sitio web hacer que el usuario pinche en cualquier vínculo, cualquier botón o en cualquier cosa de la página sin siquiera percatarse que lo hace.
En ocasiones anteriores se han presentado vulnerabilidades que afectan a diversos navegadores y que, por lo general, se solucionan con un parche. El problema del que estamos hablando parece no tener una solución tan fácil (no se podría implementar en un simple parche) y no depende de JavaScript (aunque Dicen™ que lo facilita).
Según Hansen el problema ha sido discutido tanto con Mozilla como con Microsoft y ambos han coincidido en que este es un problema bastante complicado y que no tiene una solución sencilla. En tanto Grossman confirmó que las últimas versiones de Internet Explorer y Firefox 3 se encuentran entre los navegadores afectados.
La pelota la tienen ahora las empresas detrás de los distintos navegadores.
Link: New clickjacking affects all browsers; cause remains unknown (ars technica)
Publicado por ZooTV el 29 de September 2008 en la categoría Internet con los tags Clickjacking, Internet, Navegadores, Seguridad, Vulnerabilidad. Tiene 50 comentarios.
Compartir50 Comentarios
Clickjacking: Lo que todos callan pero muchos ya saben
…
-2alvaro dijo el 29-9-2008 a las 21:43:
Pero de que nivel es el problema? Por que si me dicen que es para aumentar los clicks en el adsense, no es nada.
Si el tema es robar clicks obio que javascript lo facilita, pero hay muchas formas de hacer que alguien haga click en algo.
Que tiene el “click” que no tiene el “enter” que hace a lynx y a los navegadores en modo terminal seguros?
-2TurboMAC dijo el 29-9-2008 a las 22:17:
Demonios, esta mi navegador favorito en la lista. Konqueror.
De todas maneras confio mucho en el equipo de kde. Mucho mas de lo que confio en cualquier equipo de microsoft.
0ñañañajajoa dijo el 29-9-2008 a las 22:54:
quiero hacer clickjacking en mi pagina web, como le hago?
2EVER dijo el 30-9-2008 a las 09:09:
Mejor pone un link a alguna pagina que de verdad explique el asunto y te sale mejor, pq el articulo no se entiende ni “J”
3Mr_Trukit0 dijo el 30-9-2008 a las 17:44:
Estuve averiguando de qué se trata exactamente todo esto, y en mi blog redacté un artículo explicativo sobre el tema.
En resumen, la vulnerabilidad (o al menos lo que hasta el momento se conoce de la potencial serie de vulnerabilidades que se rumorean) está relacionada con el manejo de los IFrames y las sesiones persistentes, y sobre cómo ciertas propiedades inherentes de estos elementos se pueden aprovechar con fines maliciosos.
Saludos.
0alvaro dijo el 30-9-2008 a las 21:45:
No sólo de los iframes sino que de todos los elementos tipo “objeto” (flash, applet, frame…)
Lo que aun me pregunto es con que fin se usan los click.
0Mr_Trukit0 dijo el 30-9-2008 a las 22:37:
@alvaro: ¿En dónde hay alguna prueba de concepto en donde se haga Clickjacking utilizando algún OBJECT?
0Álvaro dijo el 1-10-2008 a las 12:37:
@Mr_Trukit0:
HTML, es un documento de texto, no son programas ni reproductores multimedia. iframe y frame rompen con esa “regla”. Pero estas son muy requeridas, para eso w3c tiene el tag que puede contener otra página un archivo multimedia o un plugin. osea con este tag también se podría hacer los que describes en tu blog.
Buena la explicación en tu blog, pero no explicas por que adobe está tan preocupada por esta vulnerabilidad.
0Álvaro dijo el 1-10-2008 a las 12:40:
Sorry, el blog me borró el tag
“object” es el tag que se una para incrustar elmentos.
1Mr_Trukit0 dijo el 1-10-2008 a las 17:04:
@Álvaro: No me he metido en el tema de Adobe porque justamente no conozco una aplicación del “clickjacking” usando otra cosa que no sea IFrame, aunque ahora he visto que W3C reemplazará la función de IFrame mediante Object (de manera que Object pueda incrustar páginas HTML al mismo modo de IFrame).
Y respecto a hacer Clickjacking con animaciones Flash, no lo veo factible porque hacer que una animación Flash se vea completamente transparente cuando originalmente no lo es, es algo inviable porque no la renderiza el navegador, sino que DirectX (u OpenGL en el caso de los sistemas no-Windows).
En resumen, no es posible ocultar una animación Flash (proveniente de otro sitio Web) detrás de un documento HTML en un sitio local (sitio malicioso). Pero sí es posible hacer lo contrario, es decir, poner por delante una animación Flash y por detrás código HTML, y ahí se seguiría usando IFrame para invocar al documento remoto y ocultarlo.
En resumen, sigue dependiendo de IFrame visto desde ese punto de vista.
Corríjanme si me equivoco.
Saludos.
1Álvaro dijo el 1-10-2008 a las 18:16:
@Mr_Trukit0:
A Adobe no lo puso nadie, Adobe se puso solo en el tema, y no creo que sea por que sus animaciones podrian ocultar iframes.
No te estoy alegando nada porciacaso, pienso puedes tener mucha razón. Pero todo es supuesto, por que no se sabe de que se trata.
0Mr_Trukit0 dijo el 1-10-2008 a las 18:20:
@Álvaro: Hasta que Adobe no suelte dicha información, no podremos saber mucho al respecto :/
0David.cs dijo el 1-10-2008 a las 23:35:
De izquierda a derecha, estos serían los navegadores correspondientes a los íconos:
Amaya – ? – Avant – Mozilla Camino – Epiphany – Mozilla Firefox – Flock – Galeon – ? – Internet Explorer 7 – Internet Explorer 6 – K-Meleon – Konqueror – Maxthon – Netscape Navigator – OmniWeb – Opera – Safari – Mozilla Seamonkey – Shiira
-1David.cs dijo el 1-10-2008 a las 23:39:
Amaya – http://www.w3.org/Amaya
?
Avant – http://www.avantbrowser.com
Mozilla Camino – caminobrowser.org
Epiphany – http://www.gnome.org/projects/epiphany
Mozilla Firefox – http://www.mozilla.com/firefox
Flock – http://www.flock.com
Galeon – galeon.sourceforge.net
?
Internet Explorer 7
Internet Explorer 6
K-Meleon – kmeleon.sourceforge.net
Konqueror – http://www.konqueror.org/features/browser.php
Maxthon – http://www.maxthon.com
Netscape Navigator
OmniWeb – http://www.omnigroup.com/applications/omniweb
Opera – http://www.opera.com
Safari – http://www.apple.com/safari/download
Mozilla Seamonkey – http://www.seamonkey-project.org
Shiira – shiira.jp/en
0¿Cómo nos protegemos del Clickjacking? - FayerWayer dijo el 2-10-2008 a las 19:02:
[...] algunos días les contamos de una vulnerabilidad que afectaba a casi todos los navegadores. Ahora les contamos [...]
0amarok dijo el 2-10-2008 a las 19:44:
@Mr. Trukit0:
Felicitaciones y gracias. Me ahorraste harto tiempo googleando. Tu explicación está excelente.
Deja tu Comentario
Artículos Relacionados
Descubierta vulnerabilidad crítica en Firefox 3.5
En 10 segundos toman el control de un Mac gracias a Safari
Descubren falla de seguridad en Safari
Revelan una grave falla en el algoritmo MD5 
¿Cómo nos protegemos del Clickjacking?
Microsoft llama a no usar Safari
Botnet controlada desde grupos de noticias
Condenan a hacker chileno por denunciar falla crítica en portal ChileCompra
Firefox 3.5 supera las 9 millones de descargas
Firefox 3.5 se acerca con su primer Release Candidate
Un error de la JUNAEB en Chile expone datos privados de becarios
Futurología: Opera reinventará la Web
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: ← 1 [2]