Clickjacking
Clickjacking es el tema "de moda", una vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen que afecta a TODOS los navegadores actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar una sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.
El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer click en cualquier vinculo (sitios con virus, spyware... o anuncios...) sin que el usuario se dé cuenta de lo que está sucediendo.
Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc... Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.
Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.
Algunas cosas que podemos hacer para protegernos:
- Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
- Los usuarios de navegadores en modo texto (Links, Lynx, w3m...) están a salvo.
- Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
- Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
- Escribir "opera:config" en la barra de direcciones. Buscar "Extensions" y deshabilitar "iFrames" (...aunque yo no encuentro "iFrames" en mi Opera 9.50 para Linux!?).
- Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.
Para Mas Información:
Clickjacking
Adobe Product Security Incident Response Team (PSIRT)
Clickjacking: ¿un secreto a voces?
Clickjacking
Clickjacking and NoScript