Clickjacking peligrosa vulnerabilidad de los navegadores modernos

En el marco de las conferencias de seguridad OWASP, del pasado 24 de septiembre, se había programado: “New 0-Day Browser Exploits: Clickjacking - yea, this is bad…”, presentada por dos reputados expertos en seguridad de navegadores web, Jeremiah Grossman & Robert “RSnake” Hansen, en la que iban a desvelar serias vulnerabilidades que afectaban a los navegadores web más importantes.

Sin embargo la conferencia fue cancelada a petición de Adobe, manteniéndose los detalles en secreto y especulándose que gran parte de los problemas provenía de Flash.

La anulación de la conferencia les valió incluso un agradecimiento oficial por parte de Adobe.

Pero, ¿Qué es el Clickjacking? ¿Es realmente tan peligroso?

En un artículo de PC Advisor se pueden leer algunas declaraciones de Grossman y Hansen en las que sin dar demasiados detalles se plantea la vulnerabilidad como algo muy serio “Piensa en cualquier botón en cualquier web que puedes hacer aparecer dentro de las paredes de un navegador: transferencias de bancos, botones Digg, banners de publicidad, la lista es virtualmente infinita.. Luego considera que un ataque puede superponerse de forma invisible sobre estos botones bajo el puntero del ratón, así que cuando se hace clic sobre algo que se está viendo, en realidad se está haciendo clic sobre algo que el atacante quiere que el usuario active”.

En resumen, el clickjacking permite que hackers y scammers escondan material malévolo en el contenido de un sitio legítimo, el usuario activaría “voluntariamente” el enlace malicioso, pero desde el punto de vista del navegador la página no contiene ningún enlace sospechoso. Cualquier navegador compatible con páginas dinámicas, ya sea por DHTML o Javascript (característica de todo navegador moderno), estaría expuesto a esta vulnerabilidad.

¿Es el clickjacking nuevo?
No, sólo es similar a una cross-site request forgery, un tipo de vulnerabilidad y ataque conocido desde los años noventa, aunque Hansen reconoció que ese clickjacking se remonta varios años.

Coincidentemente o no, Mozilla corrigió la semana pasada una vulnerabilidad de clickjacking en Firefox que era, a su vez, una variante de una falla similar en el Internet Explorer que Microsoft corrigió inicialmente en el 2003, y luego nuevamente en el 2004.

Felizmente, como dice Robert Hansen: Hoy es el día en que nosotros podemos hablar finalmente sobre el clickjacking y ha publicado un post para ser usado, simplemente como una referencia.

En el siguiente enlace lo invitamos a ver un video y los comentarios correspondientes, sobre el arreglo realizado por Adobe.

Sin embargo debemos anotar como dice Robert Hansen, que existen múltiples variantes del clickjacking, que todavía están sin resolver.