Español | English
rss facebook linkedin Twitter

Otra amenaza a la navegación web ... el clickjacking


Hace unos días se celebró en Nueva York la world OWASP conference, y en ella, los investigadores Jeremiah Grossman y Robert "RSnake" Hansen iban a presentar un trabajo en el que exponían las particularidades y los peligros de una técnica denominada clickjacking. Días antes del inicio de la conferencia decidieron cancelar la presentación a petición de Adobe, ya que la vulnerabilidad afectaba software de esta compañía y a la mayor parte de los navegadores web del mercado, y posponer los detalles hasta contar con una solución al problema.

Obviamente, aunque no se han revelado en profundidad los detalles de la vulnerabilidad, durante este tiempo han ido surgiendo continuas especulaciones, pruebas y opiniones de todo tipo. El clickjacking consiste en que los atacantes ocultan elementos maliciosos dentro del contenido de una página web legítima posibilitando el 'robarle' los clicks al usuario permitiendo así ejecutar código malicioso o realizando acciones en nombre del usuario. Realmente, más que una vulnerabilidad propiamente dicha de los navegadores o de otro tipo de software, parece una peligrosa técnica de ingeniería social que se puede llevar a cabo sin que el usuario final sea consciente de ello. Giorgio, el creador del add-on noScript para Firefox ofrece algo de información sobre el tema en su blog, y parece ser que precisamente el add-on noScript es, hoy por hoy, una de las formas más eficaces de intentar evitar el clickjacking. Aunque la vulnerabilidad por clickjacking no tiene porque estar basada en javascript, si que el uso de scripts hace que el 'robo' de clicks sea mas sencillo y eficaz. Por otra parte, la última versión de noScript, la v 1.8.1.9, que aún está en versión de desarrollo, permite bloquear los iframes y también los elementos embebidos tipo OBJECT, con lo cual se obtiene una mayor protección contra el clickjacking. Eso si, más de la mitad de sitios web que habitualmente visitamos contiene javascript y alrededor del 10-20% contienen iframes, con lo cual, protegiéndonos con noScript no veremos la mayoría de sitios web que visitemos como, en principio, han sido diseñados para que los veamos, o incluso puede que algunos no los podamos ver. Siempre nos queda la posibilidad de permitir los scripts y los iframes en sitios que queramos visualizar correctamente pero ... ¿podemos estar 100% seguros de que los sitios que permitimos no están comprometidos?.


Guzmán Santafé
S21sec labs

2 comentarios:

Álvaro Del Hoyo dijo...

Ya, pero el noScript no vale para el aún hoy más extendido navegador, Internet Explorer, ¿no? ¿O hay alguna solución similar para este navegador?

Si no existe tal solución, ¿una razón más para cambiar a Firefox o para que espabile Microsoft con add-ons?

Imagino que esta vulnerabilidad preocupará bastante a empresas de publicidad contextual por el posible "clickfraud".

Un saludo

S21sec labs dijo...

Realmente en Internet Explorer también se pueden deshabilitar los scripts mediante las opciones de seguridad. Incluso permite manejar una lista de sitios de confianza en los que se puede permitir la ejecución de scripts, java, etc, aunque si que es cierto que la usabilidad de Internet Explorer para bloquear los scripts es bastante peor que la que ofrece Firefox con el add-on noScript. Lo que no permite Internet Explorer es bloquear totalmente los iframes. Si que permite deshabilitar la posibilidad de lanzar programas desde iframes, pero parece que no nos protege totalmente ya que, por ejemplo, no bloquea los elementos OBJECT, con lo cual seguimos siendo, aunque en un porcentaje más bajo, vulnerables ante el clickjacking.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login