Nosso grande malvado do momento, o clickjacking, está de volta na cena. Para quem ainda não ouviu falar dessa nova
vulnerabilidade, ela permite que hackers efetuem ações indesejáveis no seus navegadores, como executar scripts por
exemplo…
a ZDnet informou o link para
alguns exemplos de clickjacking (o chamado proof of concept): Guy Aharonovsky
publicou um jogo de demonstração, o demo game, composto de uma página web escondendo - sem que o usuário o perceba
- uma outra página atrás que modifica as configurações de privacidade de Adobe Flash no computador do usuário.
Usando uma série de cliques dentro da página falsa, Aharonovsky consegue aproveitar-se discretamente dos cliques
do usuário para modificar a configuração do Flash e tomar controle da webcam instalada. Se você tiver medo de
testar o demo (ou não river uma webcam), você pode ver o vídeo do ataque.
O demo foi desenvolvido usando um jogo em Javascript, mas o autor avisa que jogos ou aplicações em Flash, Java,
SilverLight, ou DHTML podem conseguir o mesmo resultado.
No mesmo artigo, Aviv Raff, um pesquisador em segurança especializado em hacking de navegadores, também
desenvolveu uma prova de conceito usando um iframe escondido para roubar cliques de um usuário do Twitter. O demo
de Raff superpõe uma página transparente acime do site do Twitter e coloca um botão "Me clique" on lugar do icone
Follow aparece. Se a vitima está conectada no Twotter, o clique do demo de Raff é realmente executado no site do
Twitter.
O alcance dessa vulnerabilidade é realmente assustador e, de acordo com o guru de segurança do navegador da
Google, Michal Zalewski, difícil de corrigir. A recomendação do próprio Jeremiah Grossman, o descobridor da
vulnerabilidade, é usar o Firefox com o a extensão NoScript, até os desenvolvedores dos vários navegadores
liberarem um corretivo.
Abraços,
Phil
.: Fonte :.
Tecnologia E Comunicacao
0 comentários:
Postar um comentário