De details van het clickjacking-lek, waar nog steeds geen patch voor is, zijn door een beveiligingsonderzoeker online gezet. "Verander elke browser in een surveillance zombie. De natte droom van elke detective en gluurder," zo laat Guy Aharonovsky op zijn blog weten. De ontdekkers van de kwetsbaarheid, Jeremiah Grossman en Robert “RSnake” Hansen, besloten de details op verzoek van Adobe nog niet te publiceren. Aan de hand van de beperkte informatie die beschikbaar was, wist Aharonovsky waar hij moest zoeken. "Toen ik eerst over ClickJacking hoorde en hoe bezorgd Adobe erover was, dacht ik dat het Flash Player Security Dialog gecompromitteerd was." Aharonovsky maakte een proof-of-concept waarbij de aanvaller volledige controle over de webcam en microfoon van het slachtoffer krijgt, als die klikt op de verborgen malware op de pagina. Om gebruikers tot het klikken op de pagina te verleiden maakte de onderzoeker een JavaScript spelletje. De aanval is ook via Flash, Java, SilverLight en DHTML uit te voeren. Tevens maakte hij dit filmpje van de aanval.
Full-disclosure
"Ik twijfelde om dit te publiceren, maar als ik het kon achterhalen kunnen de bad guys dat ook, dus is het beter om te weten." Hansen reageerde teleurgesteld dat de onderzoeker op deze manier de kwetsbaarheid publiceerde. "Zijn demo valt zeker binnen de definitie van Clickjacking. Hoewel ik liever had gezien dat hij het op verantwoorde wijze bekend had gemaakt, ook al was het slechts een kwestie van tijd voordat mensen de gevaarlijke aspecten van Clickjacking zouden ontdekken."
De Clickjacking aanval die Hansen en Grossman ontdekten is niet nieuw, maar treft wel meerdere browsers en een gebruiker hoeft niet eens te klikken. Ook is JavaScript niet vereist voor de aanval, aldus het tweetal. Een aanvaller zou de malware aan de muis kunnen "koppelen", zonder dat de gebruik weet dat hij zichzelf besmet.
Oplossing
Vanwege de ernst van de situatie kwam Adobe snel met een tijdelijke oplossing. Gebruikers kunnen handmatig uitschakelen dat websites toegang tot hun microfoon en webcam krijgen. Tevens is het bezig met de ontwikkeling van een patch. Volgens de maker van de proof-of-concept exploit zorgt de maatregel van Adobe ervoor dat zijn specifieke aanval bij 99,9% van de mensen niet meer zal werken.
Grossman laat weten dat het Clickjacking probleem niet alleen de verantwoordelijkheid van Adobe is. "Iedereen, inclusief browser vendors, Adobe, website eigenaren en internetgebruikers moeten hun eigen oplossingen gebruiken in het geval de ander niet voldoende of helemaal niets doet." Eind oktober zal hij samen met Hansen de details van het Clickjacking-lek tijdens twee beveiligingsconferenties bekend maken. Op zijn eigen blog laat Hansen zien dat de patch van Adobe niet alle Clickjacking-problemen zal oplossen.
Naast de oplossing van Adobe is er voor Firefox-gebruikers de uitbreiding NoScript. Versie 1.8.2.1 bevat nieuwe anti-clickjacking maatregelen die standaard zijn ingeschakeld, ongeacht de instellingen van IFRAME en plugins. ClearClick is een van de maatregelen die ervoor zorgt dat als de gebruiker klikt, of via de muis of keyboard interactie met de website heeft, op een embedded element dat verborgen of transparant is, NoScript de interactie blokkeert en laat zien wat het element in werkelijkheid is.
Volgens beveiligingsonderzoeker Petko Petkov is het geen 'killer probleem', maar is het wel lastig op te lossen, omdat het met zowel vormgeving als interactie van de gebruiker te maken heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.