10.10.2008, 11:10 Uhr
Einzelheiten zu Clickjacking-Angriffen veröffentlicht
Die Security-Forscher Robert Hansen, CEO bei SecTheory, und Jeremiah Gross, CTO bei WhiteHat Security, haben Details über Clickjacking enthüllt. Auf die Bedrohung haben sie Mitte September auf der OWASP-Security-Konferenz (Open Web Application Security Project) erstmals aufmerksam gemacht.
Demzufolge sind viele Browser und Websites anfällig für Clickjacking-Attacken. Dabei lassen Angreifer die ahnungslosen Anwender anstatt auf legitime Links auf eine Stelle klicken, die eine von den Kriminellen definierte, beliebige Aktion auslöst. Beispielsweise könnte so eine Website-Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einem für den User unsichtbaren Button überlegt werden. Über diesen lassen sich die Informationen an den Angreifer übermitteln.
Eine detaillierte Enthüllung der neuen Schwachstellengattung sollte bereits auf der OWASP-Konferenz stattfinden. Allerdings wurde dies seinerzeit auf Wunsch von Adobe kurzfristig abgesagt, nachdem der Hersteller einen schnellen Patch für einen Clickjacking-Bug in seinem Flash Player zugesagt hatte. Vor zwei Tagen veröffentlichte der israelische Forscher Guy Aharonovsky jedoch eine Proof-of-Concept-Demo eines Clickjacking-Angriffs, die wesentliche Details der Bedrohung preisgab. Darin zeigte er, wie sich die Einstellungen in Adobes Flash-Player aus der Ferne so verändern lassen, dass Angreifer mit einem für den Anwender vermeintlich harmlosen Mausklick heimlich Mikrofon und Kamera eines Rechners einschalten und in ihren Besitz bringen können.
Daraufhin publizierte Hansen in seinem Blog zwölf Clickjacking-Probleme in Browsern, Plug-ins und Javascript. Bei Aharonovskys Demo handle es sich lediglich um ein Beispiel dessen, was mit Clickjacking alles möglich sei - es gebe multiple Varianten, erklärt der Experte. So erforderten einige Angriffsszenarien Domain-übergreifenden Zugriff, andere nicht. Bei manchen würden ganze Seiten über eine Website gelegt, während andere i-Frames nutzten, um Anwender dazu zu bringen, auf eine bestimmte Stelle zu klicken. Einige erforderten JavaScript, wieder andere nutzen CSRF (Cross-Site Request Forgery), um Daten vorab in Formulare zu laden.
Hansen zufolge wurden bisher nur zwei der zwölf beschriebenen Clickjacking-Schwachstellen behoben. Beispielsweise sei eine der an Adobe gemeldeten Lücken im Flash Player noch nicht gestopft. Hierzu hat der Hersteller mittlerweile ein Security-Advisory herausgegeben, wie sich das Produkt bis zur Verfügbarkeit eines Patches schützen lässt.
Aus Sicht von Hansen lassen sich Clickjacking-Angriffe zunächst in erster Linie aus dem Browser heraus bekämpfen. Entsprechend haben die beiden Forscher die Sicherheitsteams bei Microsoft (Internet Explorer), Mozilla (Firefox) und Apple (Safari) über das Problem informiert.
Auf lange Sicht könnte die Strategie, Browser zu patchen, allerdings zu kurz greifen. "Das Flicken der einzelnen, zunehmend unterschiedlichen Browser macht das Problem noch viel komplexer", meint Hansen. Das Hinzufügen von Code, der die Clickjacking-Lücken stopfen soll, werde angesichts des unterschiedlichen Umgangs der einzelnen Produkte mit dem Problem unweigerlich neue Angriffsflächen schaffen, befürchtet der Experte.
Bei Firefox wurde umgehend auf die Bedrohung reagiert. Das populäre Firefox-Add-on NoScript setzt in der neuesten Version bereits Clickjacking-Attacken matt.
Clickjacking ist im Prinzip nicht neu - bislang gingen Sicherheitsspezialisten jedoch davon aus, dass diese Angriffsart lediglich für Klick-Betrügereien (Click-Fraud) oder Umfragen-Manipulationen genutzt werden. Den Recherchen von Hansen und Grossman zufolge wurde das Gefahrenpotenzial stark unterschätzt.
