Clickjacking

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Clickjacking-ul („răpirea clicurilor ”) este o tehnologie computerizată frauduloasă. În timpul navigării normale pe web , utilizatorul face clic cu indicatorul mouse-ului pe un obiect (de exemplu un link ), dar în realitate clicul său este redirecționat, fără știrea acestuia, către un alt obiect, ceea ce poate duce la consecințe mai variate: de la simpla trimitere a spamului , la descărcarea unui fișier, la comandarea produselor de pe site- urile de comerț electronic .

În plus față de răpirea clicurilor, apăsarea tastelor poate fi interceptată, de exemplu atunci când introduceți parola de e-mail sau contul contului bancar. Ambele posibilități (răpirea clicurilor sau a tastelor apăsate pe tastatură) sunt realizate fără știrea utilizatorului.

Operațiune

Există două tehnici pentru a face clickjacking:

Primul este posibil datorită unei caracteristici aparent inofensive a HTML , cu care paginile web pot fi utilizate pentru a efectua acțiuni neașteptate. Se bazează pe JavaScript , de fapt, în momentul în care face clic pe utilizator, există un handler de evenimente care execută o anumită acțiune, atacatorii trec doar ceea ce au nevoie ca parametri.

Cu toate acestea, există și o altă tehnică, numită IFrame (Inner Frame), care constă în crearea unei pagini transparente și plasarea ei deasupra paginii reale. În acest fel, utilizatorul crede că consultă o pagină normală cu butoanele sale relative, în timp ce în realitate navighează pe pagina invizibilă.

Un utilizator cade în capcana clickjack-ului, de obicei făcând clic pe un link. Utilizatorul nu poate recunoaște diferența dintre o pagină sănătoasă și o pagină înșelătoare, astfel încât poate cădea în capcană fără să-și cunoască acțiunile. De fapt, prin combinarea foilor de stil , a paginilor transparente și a casetelor de text împreună, utilizatorii pot fi determinați să creadă că introduc informații într-o formă normală (de exemplu parole), atunci când sunt interceptate de atacatori.

Exemple

Aplicațiile acestei tehnici sunt cele mai variate, pot fi „inofensive” sau chiar mai periculoase pentru utilizatorul care se încadrează în ea; cele cunoscute deocamdată sunt următoarele:

  • Conduceți utilizatorul să cumpere un produs de pe Amazon ; pentru această utilizare, atacatorul are însă un singur clic disponibil, așa că are încredere că utilizatorul este deja conectat și că a activat comanda cu 1 clic (posibilitatea de a comanda cu un singur clic)
  • Activați microfonul și camera web ale utilizatorului prin Adobe Flash (această situație ar fi trebuit remediată)
  • Descărcați și rulați malware pe computerul utilizatorului
  • Urmăriți pe cineva pe Twitter
  • Distribuiți linkuri pe Facebook
  • Punerea paginilor „like” sau a linkurilor pe Facebook (această tehnică s-a numit LikeJacking)
  • Direcționați utilizatorul către site-uri care oferă publicitate și astfel câștigă bani atacatorului
  • Redați videoclipuri YouTube pentru a câștiga vizionări

Prevenirea

Există soluții pentru a încerca să limiteze această problemă, acestea pot fi atât pe partea clientului, cât și pe partea serverului, sau, respectiv, să fie create de utilizator în browserul lor și de proprietarul site-ului.

Partea clientului

Acestea sunt soluțiile pe care utilizatorul le poate adopta:

NoScript

Protecția împotriva clickjacking-ului poate fi obținută, cu un grad bun de securitate (așa cum este raportat în „Browser Security Handbook” din 2008), prin instalarea NoScript pe Mozilla Firefox . Este un produs al ClearClick, lansat pe 8 octombrie 2008, care ajută utilizatorii împiedicând să facă clic pe orice pagini transparente.

GuardedID

Acest produs include protecția prin clicjacking pe Internet Explorer și Firefox, forțând paginile transparente să devină vizibile. În acest fel, utilizatorul poate avea o vizualizare completă a paginii și poate evita apăsarea butoanelor greșite.

Gazele

Gazele este un produs al Microsoft Research pentru IE, care folosește o tehnică similară cu modelul de securitate utilizat pentru sistemele de operare.

O pagină cu o altă sursă decât cea corectă își poate afișa conținutul dinamic numai dacă este opacă.

Partea de server

Iată soluțiile pe care proprietarul site-ului le poate adopta:

Framekiller

Proprietarii site-urilor pot insera un cadru JavaScript în pagini în care nu doresc să fie inserate pagini din surse neafiliate. Fiind o protecție bazată pe JavaScript, nu este întotdeauna de încredere. De exemplu, pe Internet Explorer această soluție poate fi ocolită prin inserarea paginii țintă într-un element de tipul:

 < SECURITATE IFRAME = restricționată >

X-Frame-Options

Acesta este un cadru introdus în 2009 în Internet Explorer. Funcționează prin inserarea X-Frame-Options în antetul HTTP, care oferă o protecție parțială împotriva clickjack-ului, ulterior această soluție a fost adoptată și de alte browsere.

Antetul stabilește setările pentru cadre, stabilind care sunt sursele din care pot ajunge orice pagini externe. Acest lucru împiedică atacarea site-ului prin inserarea de cadre din surse nepermise de antet.

Această soluție, X-Frame-Options, a fost publicată oficial ca RFC 7034 în 2013, dar nu a devenit un standard.

Politica de securitate a conținutului

Această soluție face ca opțiunile X-Frame să fie învechite și sunt preferate de browsere. Acesta exploatează directiva cadru-strămoș a „Politicii de securitate a conținutului” cu ajutorul căreia puteți activa sau dezactiva codul încorporat din anumite pagini ostile.

Elemente conexe

Surse