Clickjacking

El clickjacking és una tècnica maliciosa per fer que un usuari cliqui a una cosa diferent de la que percep, per revelar informació confidencial o agafant control del seu ordinador mentre ell clica a pàgines web aparentment innòcues.^[1]^[2]^[3]^[4] És un assumpte de seguretat del navegador que és una vulnerabilitat a través d'una varietat de navegadors i plataformes.Un clickjack agafa la forma de codi incrustat o un programa que es pot executar sense el coneixement de l'usuari, com clicar en un botó que realitza una altra funció.^[5] El terme "clickjacking" va ser creat per Jeremiah Grossman i Robert Hansen el 2008.^[6] El clickjacking pot ser entès com un cas del problema d'assistent confós, un terme utilitzat per descriure quan un ordinador és innocentment embogit fent mal ús de la seva autoritat.^[7]

Clickjacking és possible perquè característiques de pàgines de web HTML aparentment inofensives poden ser emprades per fer accions inesperades.Un clickjacked la pàgina burla un usuari fent accions indesitjables clicant en un enllaç encobert. En un pàgina que testigui clickjacked, els atacants carreguen una altra pàgina per sobre d'aquesta una capa transparent. Els usuaris creuen que estan clicant els botons visibles, mentre de fet estan fent accions en la pàgina invisible/amagada. La pàgina amagada pot ser una pàgina autèntica; per això, els atacants poden fer que els usuaris mai van pretendre fer. No hi ha cap manera de traçar mitjançant aquestes accions als atacants més tard, ja que els usuaris haurien estat realment autenticats en la pàgina amagada.

Exemples modifica

Un usuari podria rebre un correu electrònic amb un enllaç a un vídeo sobre una notícia, però una altra pàgina web, per exemple, una pàgina de producte d'Amazon.com, pot ser "amagat" a dalt o per sota el "botó" de començar el vídeo de la notícia. L'usuari intenta reproduir el vídeo però de fet "compra" el producte d'Amazon. El hacker només pot enviar un sol clic, així que confien en el fet que el visitant està connectat a Amazon.com i que té habilitat l'opció de "compra en 1 clic".

Altres exploits coneguts inclouen:

Fent que els usuaris habilitin la seva càmera web i micròfon a través de Flash (encara que això ha estat fixat que va ser informat)
Fent que usuaris comparteixin informació de treball a les xarxes socials públicament
Descarregant i executant malware (programari maliciós) permetent a un atacant remot per agafar control d'altres ordinadors^[8]^[9]^[10]
Fent els usuaris segueixen algú a Twitter^[11]
Compartint o agradant enllaços a Facebook^[12]^[13]
Aconseguint "m'agrada" a la "fan page" del Facebook o +1 a Google+ ^[14]
Clickar a anuncis de Google Adsense per generar ingressos de clic
Executar vídeos de YouTube per obtenir vistes
Seguir algú a Facebook

Referències modifica

↑ Robert McMillan. «At Adobe's request, hackers nix 'clickjacking' talk». PC World, 17-09-2008. Arxivat de l'original el 17 de juliol 2015. [Consulta: 2 d’abril 2016].
↑ Megha Dhawan «Beware, clickjackers on the prowl». India Times, 29-09-2008. Arxivat 24 de juliol 2009 a Wayback Machine. «Còpia arxivada». Arxivat de l'original el 2009-07-24. [Consulta: 2 abril 2016].
↑ Dan Goodin. «Net game turns PC into undercover surveillance zombie». The Register, 07-10-2008.
↑ Fredrick Lane. «Web Surfers Face Dangerous New Threat: 'Clickjacking'». newsfactor.com, 08-10-2008. Arxivat de l'original el 13 octubre 2008.
↑ Sumner Lemon. «Business Center: Clickjacking Vulnerability to Be Revealed Next Month», 30-09-2008. Arxivat de l'original el 5 de juny 2011. [Consulta: 2 d’abril 2016].
↑ You don't know (click)jack Robert Lemos, October 2008
↑ The Confused Deputy rides again!, Tyler Close, October 2008
↑ «select element persistance allows for attacks».
↑ «UI selection timeout missing on download prompts».
↑ «Delay following click events in file download dialog too short on OS X».
↑ Daniel Sandler. «Twitter's "Don't Click" prank, explained (dsandler.org)», 12-02-2009.
↑ Krzysztof Kotowicz. «New Facebook clickjacking attack in the wild», 21-12-2009.
↑ BBC «Facebook "clickjacking" spreads across site». BBC News, 03-06-2010.
↑ Josh MacDonald. «Facebook Has No Defence Against Black Hat Marketing».

[1] Robert McMillan. «At Adobe's request, hackers nix 'clickjacking' talk». PC World, 17-09-2008. Arxivat de l'original el 17 de juliol 2015. [Consulta: 2 d’abril 2016].

[2] Megha Dhawan «Beware, clickjackers on the prowl». India Times, 29-09-2008. Arxivat 24 de juliol 2009 a Wayback Machine. «Còpia arxivada». Arxivat de l'original el 2009-07-24. [Consulta: 2 abril 2016].

[3] Dan Goodin. «Net game turns PC into undercover surveillance zombie». The Register, 07-10-2008.

[4] Fredrick Lane. «Web Surfers Face Dangerous New Threat: 'Clickjacking'». newsfactor.com, 08-10-2008. Arxivat de l'original el 13 octubre 2008.

[5] Sumner Lemon. «Business Center: Clickjacking Vulnerability to Be Revealed Next Month», 30-09-2008. Arxivat de l'original el 5 de juny 2011. [Consulta: 2 d’abril 2016].

[6] You don't know (click)jack Robert Lemos, October 2008

[7] The Confused Deputy rides again!, Tyler Close, October 2008

[8] «select element persistance allows for attacks».

[9] «UI selection timeout missing on download prompts».

[10] «Delay following click events in file download dialog too short on OS X».

[11] Daniel Sandler. «Twitter's "Don't Click" prank, explained (dsandler.org)», 12-02-2009.

[12] Krzysztof Kotowicz. «New Facebook clickjacking attack in the wild», 21-12-2009.

[13] BBC «Facebook "clickjacking" spreads across site». BBC News, 03-06-2010.

[14] Josh MacDonald. «Facebook Has No Defence Against Black Hat Marketing».

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]