Не те клики

Уязвимость под названием clickjacking ("клик-джекинг”) была обнаружена на днях специалистами по безопасности Робертом "RSnake" Хансеном и Еремией Гроссманом. Подробности и суть clickjacking-а должны были быть озвучены на конференции по безопасности OWASP USA  в Нью-Йорке. Однако специалисты отменили свой доклад "New 0-Day Browser Exploits: Clickjacking - yea, this is bad". Такое решение было принято по просьбе компании Adobe. Ведь именно ее продукт Adobe Flash стал причиной возникновения клик-джекинга.

Клик-джекинг использует уязвимости Adobe Flash и таким образом может навредить пользователям целого ряда браузеров - и Internet Explorer, и Firefox. Суть атак с использованием клик-джекинга состоит в том, что пользователь нажимает на ссылку или на кнопку, расположенную на веб-сайте, совершенно не подозревая об этом.

Специалисты обнаружили, что уязвимость clickjacking может быть встроена в онлайновые игры. Как раз они являются благодатной средой для реализации этой уязвимости. Особенно игры, в которых нужно много раз кликать по разным объектам, например, движущимся целям. Пользователь думает, что он играет в игрушку, а на самом деле может подтверждать отправку спам-сообщений или снимать деньги со своего электронного кошелька, или даже без своего ведома подтверждать платеж или изменение параметров доступа, например, к своему почтовому ящику.

Самым "безобидным" использованием этой уязвимости может быть накрутка голосов или посетителей определенного сайта. Однако глобально под clickjacking можно подвести любое другое онлайновое мошенничество. Кроме того, авторы неозвученного доклада обнаружили, что с помощью этого метода злоумышленники могут осуществить полный контроль над компьютером пользователя.

Анализ уязвимости показал, что она работает даже при отключенных элементах Java Script и ActiveX. Также было обнаружено, что с помощью клик-джекинга можно вызвать и другие виды атак, например, межсайтовый скриптинг (XSS), SQL-инъекции и межсайтовая подделка запросов (CSRF).

Специалисты протестировали уязвимости в Internet Explorer, в течение 40 секунд играя в онлайновую игру, а на самом деле – нажимали кнопку "Пуск".

Пока компания Adobe не выпустила патча для устранения этой уязвимости. И единственным вариантом решения этой проблемы может стать неиспользование различных сервисов с Flash-элементами, например, онлайнового видео.

Потенциальные угрозы этой уязвимости более чем серьезны. Ведь, не контролируя свои клики, пользователи могут, сами того не ведая, заняться корпоративным шпионажем, раскрыть не только свои секреты, но и конфиденциальную информацию компании, в которой они работают. Или же сами стать участниками какой-то бот-сети и превратиться в звено передачи вредоносного кода.

Такого рода уязвимости приводят к необходимости качественно нового подхода к информационной безопасности компаний. Безобидная онлайновая игра или веб-серфинг по любимым сайтам может привести к утечке информации или нарушению работы всей информационной системы организации. В таких условиях ограничение использования Интернета сотрудниками становится не просто прихотью руководства, а необходимым элементом нормальной деятельности компании.