Clickjacking: Jeder Klick im Browser kann der falsche sein
Ein vermeintlich harmloser Klick im Web-Browser genügt, damit Kriminelle auf den PC zugreifen können. Der Flash-Entwickler Guy Aharonovsky hat eine Demo veröffentlicht, mit der Anwender unwissentlich die Einstellungen des Flash-Players verändern und Angreifern so Zugriff auf das Mikrofon und eine angeschlossene Webcam erlauben. Aharonosky macht sich dabei Schwächen in aktuellen Browsern und dem Flash Player Setting Manager von Adobe zunutze.
Um den Anwender zum Klick auf bestimmte Einstellungen zu bewegen, gaukelt er ein JavaScript-Spiel vor, bei dem ein Objekt angeklickt werden muss. Zwischenzeitlich schiebt er aber den in einem IFrame geöffneten Flash Player Setting Manager über die Veränderung des z-index in den Vordergrund beziehungsweise das Hauptfenster in den Hintergrund. Der IFrame bleibt jedoch unsichtbar, sodass der Anwender nicht merkt, dass er eigentlich in den Einstellungen des Flash Player herumgeklickt hat.
Adobe hat mittlerweile die Website für den "Flash Player Setting Manager" überarbeitet, sodass die Demo von Aharonovsky nicht mehr funktioniert. Ein Video auf YouTube führt das Problem aber vor. Das Abschalten von JavaScript würde laut Aharonovsky keine Abhilfe bringen, da sich der Angriff auch in Flash, Java, SilverLight und DHTML implementieren ließe.
Diese auch als "Clickjacking" oder "UI Redressing" bekannte Attacke stellt jedoch nur eine Instanziierung eines ganzen Problemkomplexes dar. Bereits Mitte September deuteten die Sicherheitsspezialisten Jereminah Grossmann und Robert "RSnake" Hansen an, dass eine ganze Reihe von Internet-Browsern und Websites für Clickjacking-Attacken anfällig seien, bei dem ein Angreifer den Anwender anstatt auf legitime Links "auf etwas kaum oder nur sehr kurz Sichtbares" klicken lasse. Ein für die OWASP-Konferenz geplanter Vortrag wurde kurzerhand abgesagt, da die entdeckten Schwachstellen derart schlimm seien, dass sie vor der Veröffentlichung einer Absprache mit den betroffenen Herstellern bedürfen.
Durch die Veröffentlichung von Aharonovsky, der nach eigenen Angaben erst durch Hansens und Grossmanns Andeutungen auf die Idee für seine Demo gekommen war, sind aber nun wesentliche Details bekannt. Hansen hat deshalb weitere Details zu Clickjacking-Attacken in seinem Blog beschrieben. Insgesamt zwölf Probleme in Flash, im Internet Explorer 8, im Plug-in NoScript und allgemein in Browsern und JavaScript zählt er auf. Nur die Schwachstellen im Flash Player Setting Manager und NoScript sind bislang behoben. Adobe gibt allgemeine Hinweise zur Eindämmung des Problems im Flash Player.
Daneben hat der israelische Spezialist für Browser-Sicherheit Aviv Raff eine Clickjacking-Demo veröffentlicht, bei der ein Anwender durch einen Klick in einer unverdächtigen Seite zu einem Follower von Raff im Kurznachrichtendienst Twitter wird.
Schutz gegen Clickjacking verspricht das Firefox-Plug-in NoScript in der Version 1.8.2.1. Die neue ClearClick-Funktion soll verborgene, durchsichtige oder anderweitig verschleierte Dialoge oder Frames beim Anklicken sichtbar machen. Der Anwender soll dann entscheiden können, ob er die Optionen im dargestellten Dialog wirklich aktivieren will oder nicht.
Quelle: Heise.de