Kukkol és lehallgat a gonosz webes játék

A clickjacking elleni védekezést megnehezíti, hogy több eltérő típusú támadást illetnek ezzel a névvel, ráadásul a sebezhetőségek egy részét csak az Adobe Flash bővítményének régen várt tízes verziója orvosolja majd. Szerencsére vannak már módszerek az átverés elleni védekezésre, bár nem túl kényelmesek.

Ellenünk dolgozik a flashjáték

A támadás lényege, hogy egy Flashben készült játékot vagy bármi hasonlóan kattintásra ingerlő tartalmat a valójában engedélyezendő oldal felé pozicionál a támadó. A gyanútlan felhasználó kattintásainak egy része félre megy, azonban néhány jól elhelyezett céllal ráveszik, hogy az alul található és nem látható weboldalon engedélyezzen a támadó számára fontos dolgokat.

A sebezhetőségre két kutató, Robert Hansen és Jeremiah Grossmann talált rá szeptember közepén, ám a probléma részleteit nem hozták nyilvánosságra. Ennek köszönhetően az Adobe úgy kezdhetett el kezdhetett dolgozni a rések befoltozásán, hogy nem állt minden hackerré válni akaró szkriptkölyök rendelkezésére a támadáshoz szükséges technológia.

A pontos részleteket igyekeztek titokban tartani a javítás elkészültéig, ám egy másik kutató publikálta a saját tesztkódját, illetve egy a támadást bemutató videót is. Ezek után kutatópáros is nyilvánosságra hozta saját felfedezését, több lehetséges támadási módot ismertetve. A téma iránt érdeklődők a Buhera blogon olvashatnak utána a clickjacking történetének, ahol a hiba kihasználásához szükséges példakódot is linkeli a blogger.

Van megoldás, csak kicsit kényelmetlen

Szerencsére a clickjacking nem mindenható támadás, néhány egyszerű beállítással ki lehet húzni biztonságosan, amíg az Adobe javítja a Flash hiányosságait. Az egyik módszer a böngészőbe épülő plugin, bővítmény átállítása, hogy semmilyen körülmények között ne engedje a weblapokat hozzáférni a gép mikrofonjához és kamerájához. Ezt a funkciót a plugin beállítófelületén lehet kapcsolgatni, amit a legegyszerűbben az Adobe egy speciális oldalán lehet előhívni. Ez a beállítás így az összes mikrofont használó Flash-alkalmazást - például az olyan böngészőből működő webes telefonokat - ellehetetleníti, így az ilyen szolgáltatásokat használók a beállítófelület egy másik fülén engedélyt adhatnak néhány oldalnak a perifériák használatára.

A másik megoldás a Firefoxhoz letölthető NoScript kiegészítő legújabb verziójának telepítése. Itt ismét kénytelen lesz a felhasználó beállítani az engedélyezett oldalak listáját, de legalább nem egy bélyegnyi panelen kell beírnia a biztonságos oldalak címét.