Home    Aktuelles    Kalender    Katalog    Anmeldung  
News u. Notiz
 Suche 

Home
News u. Notiz
Kalender
Info
Anmeldung
Kontakt

 Newsletter 
E-Mail-Info mit aktuellen News und Veranstaltungen
Zur Newsletter
Um-, Ab- u. Anmeldung

 Events 

 PDF, Audio, Video 

 LogIn 
UserName: 
Kennwort:  

Kennwort vergessen?
Neu Anmeldung

 Anmelden 


 News u. Notiz 
 

« zurück
Clickjacking: Jeder Klick im Browser kann der Falsche sein  (Archiv) 
Archiviert: 27.10.2008
Ein vermeintlich harmloser Klick im Web-Browser genügt, damit Kriminelle auf den PC zugreifen können.


Der Flash-Entwickler Guy Aharonovsky hat eine Demo ( http://guya.net/security/clickjacking/game.html ) veröffentlicht, mit der Anwender unwissentlich die Einstellungen des Flash-Players verändern und Angreifern so Zugriff auf das Mikrofon und eine angeschlossene Webcam erlauben. Aharonosky macht sich dabei Schwächen in aktuellen Browsern und dem Flash Player Setting Manager von Adobe zunutze.

Um den Anwender zum Klick auf bestimmte Einstellungen zu bewegen, gaukelt er ein JavaScript-Spiel vor, bei dem ein Objekt angeklickt werden muss. Zwischenzeitlich schiebt er aber den in einem IFrame geöffneten Flash Player Setting Manager über die Veränderung des z-index in den Vordergrund beziehungsweise das Hauptfenster in den Hintergrund. Der IFrame bleibt jedoch unsichtbar, sodass der Anwender nicht merkt, dass er eigentlich in den Einstellungen des Flash Player herumgeklickt hat.

Adobe hat mittlerweile die Website für den "Flash Player Setting Manager" überarbeitet, sodass die Demo von Aharonovsky nicht mehr funktioniert. Ein Video auf YouTube ( http://www.youtube.com/watch?v=gxyLbpldmuU ) führt das Problem aber vor. Das Abschalten von JavaScript würde laut Aharonovsky keine Abhilfe bringen, da sich der Angriff auch in Flash, Java, SilverLight und DHTML implementieren ließe.

Diese auch als "Clickjacking" oder "UI Redressing" bekannte Attacke stellt jedoch nur eine Teil eines ganzen Problemkomplexes dar. Bereits Mitte September deuteten die Sicherheitsspezialisten Jereminah Grossmann und Robert "RSnake" Hansen an, dass eine ganze Reihe von Internet-Browsern und Websites für Clickjacking-Attacken anfällig seien, bei dem ein Angreifer den Anwender anstatt auf legitime Links "auf etwas kaum oder nur sehr kurz Sichtbares" klicken lasse. Ein für die OWASP-Konferenz geplanter Vortrag wurde kurzerhand abgesagt, da die entdeckten Schwachstellen derart schlimm seien, dass sie vor der Veröffentlichung einer Absprache mit den betroffenen Herstellern bedürfen.

Durch die Veröffentlichung von Aharonovsky, der nach eigenen Angaben erst durch Hansens und Grossmanns Andeutungen auf die Idee für seine Demo gekommen war, sind aber nun wesentliche Details bekannt. Hansen hat deshalb weitere Details zu Clickjacking-Attacken in seinem Blog ( http://ha.ckers.org/blog/20081007/clickjacking-details/ ) beschrieben. Insgesamt zwölf Probleme in Flash, im Internet Explorer 8, im Plug-in NoScript und allgemein in Browsern und JavaScript zählt er auf. Nur die Schwachstellen im Flash Player Setting Manager und NoScript sind bislang behoben. Adobe gibt allgemeine Hinweise zur Eindämmung ( http://www.adobe.com/support/security/advisories/apsa08-08.html ) des Problems im Flash Player.

Daneben hat der israelische Spezialist für Browser-Sicherheit Aviv Raff eine Clickjacking-Demo ( http://raffon.net/research/cj/cj.html ) veröffentlicht, bei der ein Anwender durch einen Klick in einer unverdächtigen Seite zu einem Follower von Raff im Kurznachrichtendienst Twitter wird.

Schutz gegen Clickjacking verspricht das Firefox-Plug-in NoScript in der Version 1.8.2.1. Die neue ClearClick-Funktion ( http://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/ ) soll verborgene, durchsichtige oder anderweitig verschleierte Dialoge oder Frames beim Anklicken sichtbar machen. Der Anwender soll dann entscheiden können, ob er die Optionen im dargestellten Dialog wirklich aktivieren will oder nicht.

YouTube-Video zu Problem:
http://www.youtube.com/watch?v=gxyLbpldmuU

Demos zum Problem:
http://guya.net/security/clickjacking/game.html
http://raffon.net/research/cj/cj.html

Schutz vor dem Problem:
http://www.adobe.com/support/security/advisories/apsa08-08.html
http://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/
Links:

Webseite willi, 15.10.2008

Thema: Datenschutz

Bitte vergeben Sie für diesen Artikel eine Note
zwischen +3 (lesenswert) und -3 (nicht lesenswert)

Artikel bewerten:
+3 +2 +1 0 -1 -2 -3

  Aktuelle Auswertung:
Gesamtbewertung (Alle Punkte): 0

Plus: , Neutral: , Minus: 0
  0 = neutral (Artikel zur Kenntnis genommen)


Leser-Beiträge
Hinterlassen Sie hier Ihre Informationen oder Anmerkungen, für andere Leser.
Jetzt ohne Anmeldung!

 neuen Eintrag erstellen 

Home | News | Kalender | Katalog | Anmeldung
Newsletter | Info | Impressum | Kontakt

diagramm.net - Alle Inhalte dienen der persönlichen Information.







Pub-Info