Clickjacking (interfaz de usuario o reparación de la interfaz de usuario y superposición de IFRAME)

Clickjacking (también conocido como interfaz de usuario or Reparación de IU y Iframe superposición) es un exploit en el que se oculta código malicioso debajo de botones aparentemente legítimos u otro contenido en el que se puede hacer clic en un sitio web.

Aquí hay un ejemplo, entre muchos escenarios posibles: un visitante de un sitio cree que está haciendo clic en un botón para cerrar una ventana; en cambio, la acción de hacer clic en el botón "X" le pide a la computadora que descargue un caballo de Troya, transfiera dinero desde una cuenta bancaria o encienda el micrófono o la cámara web integrados en la computadora. El sitio web anfitrión puede ser un sitio legítimo que ha sido pirateado o una versión falsificada de algún sitio conocido. El atacante engaña a los usuarios para que visiten el sitio a través de enlaces en línea o en mensajes de correo electrónico.

Los investigadores Jeremiah Grossman y Robert Hansen descubrieron la vulnerabilidad. Así es como describen el problema:

Piense en cualquier botón en cualquier sitio web, interno o externo, que pueda llegar a aparecer entre las paredes del navegador, transferencias bancarias en bancos, botones Digg, banners publicitarios de CPC, cola de Netflix, etc. La lista es prácticamente interminable y estos son relativamente ejemplos inofensivos. A continuación, considere que un ataque puede colocar estos botones de forma invisible debajo del mouse de los usuarios, de modo que cuando hacen clic en algo que ven visualmente, en realidad están haciendo clic en algo que el atacante quiere que hagan. […] Supongamos que tiene un enrutador inalámbrico doméstico que había autenticado antes de ir a un sitio web. [La codificación maliciosa] podría colocar una etiqueta debajo de su mouse que enmarca en un solo botón una orden al enrutador para, por ejemplo, eliminar todas las reglas del firewall.

Se dice que el problema es el resultado de una falla integral en el software del navegador y afecta a Internet Explorer (IE), Firefox, Safari y Opera. De hecho, solo los navegadores sin GUI, como Lynx, están protegidos, simplemente porque no hay nada en la interfaz en el que se pueda hacer clic.

Según Hansen, existen múltiples variantes de clickjacking: "Algunos requieren acceso entre dominios, otros no. Algunos superponen páginas enteras sobre una página, algunos usan iframes para hacer clic en un lugar. Algunos requieren JavaScript, algunos no lo hagas ".

Facebook es un lugar común para el clickjacking, donde a menudo toma la forma de likejacking. Un ejemplo involucra una actualización de estado: "Dios mío, este tipo fue un poco demasiado lejos con su venganza por su ex novia". A los usuarios que hacen clic en el enlace se les presenta un CAPTCHA falso, que en realidad enlaza con los botones "Me gusta" y "Compartir" de Facebook. Cuando el usuario responde, la actualización de estado falsa se publica en su página de Facebook, junto con un aviso de que le gustó el video. En Facebook, la mayoría de las vulnerabilidades de clickjacking se llevan a cabo para recopilar información del usuario y difundir spam, aunque se han informado ataques de phishing.

En su blog Security Corner, Ken Harthun aconseja: "Por ahora, todos deberían deshabilitar inmediatamente las secuencias de comandos y los iframes en cualquier navegador que estén usando. Los usuarios de Firefox deben instalar NoScript y configurar la opción" Complementos | Prohibir iframe "... También recomiendo que todos revisen el artículo de US-CERT 'Asegurar su navegador web' para asegurar la máxima protección contra este y otros riesgos de seguridad ".