29.09.2008, 16:29

Frank Ziemann

Clickjacking

Alle Browser erlauben das Entführen von Mausklicks

Sicherheitsforscher warnen, dass eine lange unterschätzte Gefahr weitaus schlimmere Folgen haben kann als bislang angenommen. So könnten Angreifer vorhandene Schaltflächen in Web-Seiten mit eigenen Buttons überdecken, um beliebige Aktionen auszulösen.
Die Sicherheitsforscher Robert Hansen von SecTheory und Jeremiah Grossman von WhiteHat Security haben eine an sich schon länger bekannte Angriffsmethode näher untersucht und sind zu alarmierenden Ergebnissen gekommen. Die als "Clickjacking" bezeichnete Methode wurde bis dahin unterschätzt und nur mit Klick-Betrug oder der Manipulation von Umfragen in Verbindung gebracht. Wie Hansen und Grossman heraus gefunden haben, ist jedoch wesentlich mehr möglich.
Hansen und Grossman hatten zunächst einen Vortrag auf der OWASP-Konferenz (Open Web Application Security Project) angekündigt, diesen jedoch auf Bitten von Adobe zurück gezogen. Einige Details haben sie auf der OWASP-Konferenz dann doch im kleinen Kreis mit Kollegen diskutiert.
Ein Angreifer könnte auf einer Website, die bereits Schaltflächen enthält, einen transparenten und somit für den Anwender unsichtbaren Button über eine vorhandene Schaltfläche legen. Klickt ein Anwender auf den Button, wird eine vom Angreifer definierte, beliebige Aktion ausgelöst. So könnte etwa eine Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einer anderen überdeckt werden, die diese Daten an einen Server den Angreifers sendet.
Eine andere Variante wäre der Start eines Downloads von Malware. Hansen nennt außerdem eine vordefinierte Script-Aktion als Beispiel, die den Firewall-Router des Opfers anweist alle Firewall-Regeln zu löschen. Dazu, wie ein solcher Angriff ausgeführt werden kann, machen die Sicherheitsforscher keine Angaben.
Das Problem betrifft alle Web-Browser und auch einige Plugins, die für interaktive Web-Inhalte genutzt werden. Die Forscher haben mit Browser-Herstellern Kontakt aufgenommen und ihnen das Problem dargelegt. Sie geben an, die Hersteller würden bereits an Lösungen arbeiten, ebenso Adobe. Welche Adobe-Software betroffen ist, verraten Hansen und Grossman noch nicht - es könnte sich um den Flash Player handeln. Bisher gibt es jedoch noch keine Äußerungen von Browser-Herstellern dazu, wann es entsprechende Updates für ihre Produkte geben wird, die das Problem beseitigen oder zumindest verringern.
Für den Moment sind Benutzer von Firefox, die die Erweiterung NoScript benutzen, am besten geschützt. Laut Hansen verhindert diese Kombination 99,99 Prozent der denkbaren Angriffsszenarien. Sie sei allerdings eher etwas für Fortgeschrittene, schränkt Hansen ein.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

71906
Content Management by InterRed