Die beiden Sicherheitsforscher Robert Hansen, CEO bei SecTheory, und Jeremiah Grossmann, Chief Technology Officer (CTO) bei WhiteHat Security, haben Details zu einer Bedrohung namens Clickjacking veröffentlicht, die sie Mitte September auf der OWASP-Sicherheitskonferenz erstmals zur Sprache gebracht hatten. Demzufolge ist eine Vielzahl von Browsern und Web-Seiten anfällig für Attacken, bei denen ein Angreifer den Anwender anstatt auf legitime Links auf eine Stelle klicken lassen kann, die eine vom ihm definierte, beliebige Aktion ausgelöst. So könnte beispielsweise eine Schaltfläche auf einer Web-Seite, die zum Absenden von Anmeldedaten dient, mit einem für den Nutzer unsichtbaren Button überlegt werden, über den diese Informationen dann an den Angreifer geschickt werden.
Die bereits für die Konferenz geplante detaillierte Enthüllung der neuen Schwachstellengattung wurde seinerzeit auf Wunsch von Adobe kurzfristig abgesagt, nachdem der Hersteller einen schnellen Patch für einen Clickjacking-Bug in seinem Flash Player zugesagt hatte. Vor zwei Tagen stellte der israelische Forscher Guy Aharonovsky jedoch eine Proof-of-Concept-Demo eines Clickjacking-Angriffs ins Netz, die wesentliche Details der Bedrohung preisgab. Darin zeigte er, wie sich die Einstellungen in Adobes Flash-Player aus der Ferne so verändern lassen, dass ein Angreifer mit einem für den Nutzer vermeintlich harmlosen Mausklick heimlich Mikrofon und Kamera eines Rechners einschalten und "kapern" kann.
Sicherheitsforscher Hansen veröffentlichte daraufhin zwölf Clickjacking-Probleme in Browsern, Plug-ins und Javascript in seinem Blog. Bei Aharonovskys Demo handle es sich lediglich um ein Beispiel dessen, was mit Clickjacking alles möglich sei - es gebe multiple Varianten, so der Experte. So erforderten einige Angriffsszenarien domainübergreifenden Zugriff, andere nicht. Bei manchen würden ganze Seiten über eine Website gelegt, während andere i-Frames nutzten, um den Anwender dazu zu bringen, auf eine bestimmte Stelle zu klicken. Einige erforderten JavaScript, wieder andere nutzen CSRF (Cross-Site Request Forgery), um Daten vorab in Formulare zu laden.
Laut Hansen wurden bislang lediglich zwei der zwölf beschriebenen Clickjacking-Schwachstellen behoben. Beispielsweise sei eine der an Adobe gemeldeten Lücken im Flash Player noch nicht gestopft. Hierzu hat der Hersteller mittlerweile ein Security-Advisory herausgegeben, wie sich das Produkt bis zur Verfügbarkeit eines Patches schützen lässt.
Aus Sicht von Hansen lassen sich Clickjacking-Attacken zunächst in erster Linie aus dem Browser heraus bekämpfen. Entsprechend haben die beiden Forscher die Sicherheitsteams bei Microsoft (Internet Explorer), Mozilla (Firefox) und Apple (Safari) über das Problem informiert. Auf lange Sicht könnte die Strategie, Browser zu patchen, jedoch zu kurz greifen. "Das Flicken der einzelnen, zunehmend unterschiedlichen Browser macht das Problem noch viel komplexer", meint Hansen. Das Hinzufügen von Code, der die Clickjacking-Lücken stopfen soll, werde angesichts des unterschiedlichen Umgangs der einzelnen Produkte mit dem Problem unweigerlich neue Angriffsflächen schaffen, befürchtet der Experte.
Clickjacking ist im Prinzip nicht neu - bislang gingen Security-Experten allerdings davon aus, dass diese Angriffsart lediglich für Klick-Betrügereien (Click-Fraud) oder Umfragen-Manipulationen genutzt werden. Den Recherchen von Hansen und Grossman zufolge wurde deren Gefahrenpotenzial stark unterschätzt.