Black Hat Europe

Clickjacking Next Generation

Ein Forscher hat auf einer Sicherheitskonferenz neue Methoden für Clickjacking-Angriffe vorgestellt. Statt simpler Mausklicks lassen sich auch Drag&Drop-Operationen entführen und für Angriffe missbrauchen.

Clickjacking-Angriffe sind seit 2008 geläufig, kommen in der Praxis jedoch eher selten vor. Bislang war die Entführung eines Mausklicks durch einen transparente Zwischenebene (etwa einen Iframe) bekannt. Auf der Sicherheitskonferenz Black Hat Europe in Barcelona hat ein Forscher eine neue Generation von Clickjacking-Attacken demonstriert, die erheblich weiter geht.

Paul Stone vom britischen Sicherheitsunternehmen Contextis hat in Barcelona Möglichkeiten aufgezeigt, wie auch Drag&Drop-Operationen entführt werden können. Aktuelle Browser wie Internet Explorer 8, Firefox 3.6, Chrome oder Safari verfügen über eine Programmierschnittstelle für solche Operationen. Die Opfer derartiger Angriffe werden veranlasst Texte oder andere Objekte im Browser-Fenster auf einen unsichtbaren Iframe zu ziehen.

Bei einer Kombination aus Java und Javascript können die erweiterten Möglichkeiten von Java ausgenutzt werden, um das Verschieben von Daten oder Objekten praktisch ohne große Mitwirkung des Benutzers zu realisieren. Ein Angreifer kann so etwa Sitzungsdaten eines angemeldeten Benutzers (zum Beispiel in sozialen Netzwerken oder Web-Mail) stehlen. Bei Facebook, Twitter oder Google Mail sind bereits Schutzmechanismen gegen Clickjacking implementiert, bei deren für Smartphones optimierten Seiten fehlt dieser Schutz jedoch.

Paul Stone hat seine Erkenntnisse auch in einer PDF-Datei veröffentlicht und ein Tool zum Download bereit gestellt, mit dem Interessierte auf eigenen Web-Seiten experimentieren können. Beides ist bei Contextis erhältlich. (PC Welt/mje)