ALERTAS | Noticias | 16 ABR 2010

Nuevas técnicas de clickjacking en Black Hat

En el marco de la conferencia de seguridad Black Hat, un investigador ha presentado una nueva herramienta basada en browser que puede ser utilizada para experimentar con ataques de ?clickjacking? de próxima generación.
Marta Cabanillas
 El clickjacking es una forma de ataque en la que el usuario es engañado para que haga clic en ciertas partes de una página web con comandos ocultos que disparan acciones maliciosas. Esos comandos ocultos son desplegados mediante una iframe invisible, una ventana que introduce otro contenido en el sitio web tomado como blanco.

La técnica se hizo bien conocida en 2008 después de que los investigadores Robert Hansen y Jeremiah Grossman descubrieran un tipo de ataque que afectaba a la aplicación Flash de Adobe y podía dar al atacante acceso remoto a la cámara web y al micrófono de las víctimas.

Desde entonces, muchos fabricantes de navegadores y sitios web han tomado medidas para defenderse, pero la inmensa mayoría de websites siguen desprotegidos, según Paul Stone, consultor de seguridad de Context Information Security, quien ha expuesto cuatro nuevas formas de ataques de clickjacking efectivas contra la mayor parte de webs y navegadores.

En una demostración, Stone utilizó una API de “arrastrar y soltar” implementada en todos los navegadores. Con alguna ingeniería social, los usuarios podrían resultar engañados para arrastrar un elemento sobre una página web y ello provocar la inserción de texto en algunos campos.

Stone ha desarrollado una herramienta que permite a los desarrolladores probar las nuevas técnicas de clickjacking y que está disponible para su descarga en el sitio web de Context Information Security.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información