Русские документы
Ежедневные компьютерные новости RSS rusdoc.ru  Найти :
http://www.rusdoc.ru. Версия для печати.

Новые виды атак на основе технологии кликджекинга

Раздел: Hardware / Вирусы и антивирусы @ 12.07.2011 | Ключевые слова: информационная безопасность кликджекинг clickjacking социальные сети oauth

Автор: bugaga0112358
Источник: habrahabr

Кликджекинг – механизм обмана пользователей, при котором переход по ссылке на каком-либо сайте перенаправляет пользователя на вредоносную страницу – стал очень эффективным. Часто он используется для распространения через Facebook ссылок на вредоносные сайты. Недавно подобные техники показали свою эффективность в деанонимизации посетителей сайта. Также переход по хитрой ссылке может привести к тому, что злоумышленник получит доступ к данным OAuth. Давайте посмотрим, как это происходит.

Классическое применение кликджекинга – рапространение ссылок через Facebook

В классическом сценарии кликджекинга злоумышленник прячет кнопку «Like» или «Share» в прозрачном iframe. Этот iframe располагается над элементом страницы, на который должен нажать пользователь, также iframe может перемещаться за курсором мыши. При нажатии на элемент клик перенаправляется на невидимую кнопку «Like» или «Share». Такие действия не ограничивается Facebook`ом, злоумышленнику только нужно иметь возможность спрятать элементы другого сайта в iframe.

Ниже приведено типичное сообщение, которое можно увидеть в сети Facebook, если одно из ваших соединений было перехвачено с помощью кликджекинга:



Пройдя по ссылке, расшаренной вашим другом, вы попадете на сайт с видео YouTube. Однако, вы не увидите кнопок «Like», которые я выделил на приведенном ниже скриншоте:



Кнопки «Like» расположены там, куда пользователь обычно нажимает, чтобы просмотреть видео: в середине окна и в левом нижнем углу. Жертва не увидит эти кнопки, потому что они находятся в невидимом прозрачном iframe. Запустив это видео пользователь нажмет кнопку «Like», увеличивая популярность сайта на Facebook.

Новые вариации техник кликджекинга

В работе Clickjacking Attacks Unresolved, Линь-Шунг Хуанг (Lin-Shung Huang) и Коллин Джексон (Collin Jackson) рассмотрели более хитрые вариации кликджекинга. Например, они продемонстрировали, как злоумышленник может идентифицировать пользователя вредоносного сайта, запрашивая его информацию у Facebook.

Я записал демонстрационное видео деанонимизации пользователя. На видео показана кнопка «Like», которая перемещается за курсором жертвы, но в реальной атаке кнопка была бы невидимой. Когда пользователь неумышленно нажмет эту кнопку, он станет другом злоумышленника на Facebook (прошу прощения за возможную неточность в терминах Facebook, сам Facebook`ом не пользуюсь – прим. перев.) Затем
Страница злоумышленника через FB.Event.subscribe(‘edge.create’, …) узнает, что жертва нажала кнопку «Like», передает сообщение серверу злоумышленника, который получает список друзей и идентифицирует нового друга. Сервер запрашивает публичную информацию пользователя через Facebook Graph API, и удаляет пользователя из списка друзей.

Эти действия позволяют злоумышленнику получить публичные данные пользователя, включая id пользователя. Авторы работы демонстрируют эту атаку, проведя ее с помощью кнопки Твиттера «Follow»:



Кликджекинг и timing атаки

Хуанг и Джексон описали click-timing атаку, называемую двойным кликджекингом, в которой пользователь через запрос злоумышленника перенаправляется на авторизацию у OAuth-провайдеров. Согласно документу, этот подход работает даже если на сайте предприняты такие меры против кликджекинга с помощью iframe, как X-Frame-Options.

Хотя злоумышленник не может вставить iframe на таких сайтах, он может загрузить страницу OAuth в pop-under окне. Pop-under окно после открытия скрывается за окном браузера. С тех пор, как браузеры стали блокировать всплывающие окна, которые открываются без участия пользователя, для этой атаки требуется большое количество кликов, чтобы обойти блокирование всплывающих окон.

Чтобы увидеть концептуальный код атаки двойного кликджекинга, пройдите по ссылке Clickjacking Attacks Unresolved.

Что дальше?

Кликджекинг нанес и продолжает наносить много вреда. Большинство атак использовало распространение вредоносных ссылок через Facebook. Но этот подход может быть использован и для более хитрых сценариев. В работе Хуанга и Джексона приведены рекомендации, которые позволят разработчикам сайтов и браузеров уменьшить риск кликджекинга. Однако эти техники невсеобъемлющи. Хуже всего то, что нельзя дать практический совет, применение которого обезопасит пользователей.

Вернуться в раздел: Hardware / Вирусы и антивирусы
© Copyright 1998-2012 Александр Томов. All rights reserved.