Home > Notícias

Browsers são vulneráveis a ataques de seqüestro de cliques

Ataque afeta todos os navegadores por bug que 'sequestra' cliques dos usuários. Falha pode estar associada ao Flash.

ComputerWorld/EUA

26/09/2008 às 15h51

Foto:

browsers_vulneraveis_88.jpgPesquisadores de segurança alertaram, na sexta-feira (26/09), para uma nova classe de vulnerabilidades apelidada de "clickjacking", que coloca usuários da maioria dos browsers sob risco de ataque.

Clickjacking é uma espécie de "seqüestro" do clique do usuário que, percebendo ou não, clica em um link - que pode estar invisível - inserido em um site por meio de uma falha considerada 'zero day', presente no Internet Explorer, Firefox, Safari, Opera, Google Chrome e outros. O bug afeta também o Flash, da Adobe.

Os pesquisadores que apresentaram suas descobertas mantiveram suas informações confidenciais - de propósito - pelo menos até que um fabricante comece a trabalhar na correção.

Embora o ataque esteja associado a navegadores, o problema é mais profundo, segundo Robert Hansen, fundador e CEO da SecTheory LLC e um dos dois pesquisadores que discutiram o bug durante a AppSec 2008, realizada na quarta-feira (24/09).

Há boatos, inclusive, de que a falha esteja associada ao Flash, o "onipresente" player
multimídia da Adobe que a maioria dos usuários executa como plug-in em
seus navegadores. Não é preciso comprometer um site legítimo para conduzir este ataque.

Hansen considera o clickjacking similar aos pedidos falsos de sites, um tipo conhecido de vulnerabilidade que surge por um ataque de cross-site request forgery (CRSF), quando comandos não-autorizados são transmitidos por um usuário que o site confia. O clickjacking, contudo, é diferente o bastante para que os anti-CRSF dos navegadores, sites e aplicativos online se tornem inúteis.
++++
"Quase todos são afetados pela ameaça", disse Hansen. "O problema é que muitas pessoas que levam muito tempo para se defender contra os pedidos falsos dos sites, e não vêem o ataque acontecendo. Ele tem um alcance muito mais amplo, fazendo usuários clicar em um botão de forma que não conseguiriam pelo JavaScript".

O parceiro de Hansen na pesquisa, Jeremiah Grossman, chefe de tecnologia do WhiteHat Security Inc., explicou como crackers podem explorar as vulnerabilidades do clickjacking.

"Pense em qualquer botão de qualquer site, interno ou externo", disse Grossman. "Ligações em transferências bancárias, botões do Digg, banners publicitários, etc. A lista é interminável e estes exemplos são relativamente inofensivos. Em seguida, considere que um ataque pode pairar invisivelmente sob estes botões abaixo do mouse. Quando o usuário clica em algo que está vendo, na verdade, está clicando em algo que o cracker quer que ele clique".

Hansen acrescenta que "se você tiver um roteador sem fio em casa autenticado antes de visitar um site legítimo, o cracker poderia colocar uma etiqueta sob seu mouse que forje um único botão, podendo deletar todas as regras do seu firewall. Isso facilita o ataque".

Há duas possíveis soluções para o problema de clickjacking, mas apenas uma faz sentido. "As únicas pessoas que poderiam corrigir esse problema são os desenvolvedores de browsers", disse Hansen.

Ele e Grossman entraram em contato com a Microsoft, Mozilla e Apple, fabricantes do IE, Firefox e Safari, respectivamente. Juntas, essas companhias somam mais de 98% de participação no mercado de navegadores, segundo a Net Applications.

Não está claro como os fabricantes receberam o alerta de Hansen e Grossman ou em quanto tempo eles corrigirão seus aplicativos. "Todos estão trabalhando em soluções, mas nenhum disse que está realmente colocando a correção em sua próxima versão".

Por enquanto, a melhor defesa contra os ataques clickjackings é usar o Firefox com o add-on NoScript instalado. Usuários usando esta combinação estarão a salvo, disse Hansen, em 99,99% dos casos. No entanto, o especialista afirma que a solução é um "tapa-buraco" adequada apenas a usuários com maior conhecimento técnico. "Não é a solução certa", disse ele.

Hansen e Grossman planejam liberar toda a pesquisa, inclusive os códigos 'prova de conceito' do ataque, após a correção do bug.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail