NoScript mit ClearClick
Firefox-Addon blockiert Clickjacking
Die kostenlose Firefox-Erweiterung NoScript kann in der neuen Version verdeckte aktive Inhalte einer Website aufspüren und schädliche Aktionen blockieren. Die als "ClearClick" bezeichnete neue Funktion soll vor Clickjacking-Angriffen schützen.
In dieser Woche haben die Entdecker der so genannten Clickjacking-Attacken, Robert Hansen und Jeremiah Grossman, eine Liste von 12 Angriffsmöglichkeiten veröffentlicht. Der italienische Sicherheitsforscher Giorgio Maone hat sein Firefox-Addon NoScript um eine Funktion namens "ClearClick" erweitert, um Firefox-Nutzer vor solchen Angriffen zu schützen.
Nach der Veröffentlichung von Hansen und Grossman hat der Flash-Entwickler Guy Aharonovsky demonstriert, wie mittels Clickjacking die Einstellungen des Flash-Plugins von Adobe manipuliert werden können. Angreifer können Zugriff auf Webcam und Mikrofon erlangen, ohne dass der Benutzer dies bemerkt. Adobe hat angekündigt bis Ende Oktober ein Sicherheits-Update für Flash bereit zu stellen. Guy Aharonovsky hat sein Demo inzwischen deaktiviert.
Giorgio Maone, Entwickler von NoScript, hat eine neue Schutzfunktion entwickelt, die er ClearClick getauft hat. Sie ist seit Version 1.8.2 in NoScript integriert und bis zur aktuellen Version 1.8.2.4 weiter gereift. Wenn ein verstecktes oder transparentes Element einer Web-Seite ein sichtbares überdeckt und so einen Mausklick oder eine Tastatureingabe entführt, also für sich missbraucht, blockiert NoScript diese potenziell schädliche Aktion. Stattdessen rückt NoScript die eigentliche, legitime Aktion wieder in den Vordergrund.
Somit können sich zumindest Benutzer von Firefox und darauf basierenden Browsern wie Seamonkey vor solchen Angriffen schützen. Bislang sind zwar noch keine echten Fälle bekannt, in denen Clickjacking-Angriffe für schädliche Zwecke eingesetzt werden, das kann sich jedoch schnell ändern.
