Nuevas técnicas de clickjacking en Black Hat
En el marco de la conferencia de seguridad Black Hat, un investigador ha presentado una nueva herramienta basada en browser que puede ser utilizada para experimentar con ataques de “clickjacking” de próxima generación.
El clickjacking es una forma de ataque en la que el usuario es engañado para que haga clic en ciertas partes de una página web con comandos ocultos que disparan acciones maliciosas. Esos comandos ocultos son desplegados mediante una iframe invisible, una ventana que introduce otro contenido en el sitio web tomado como blanco.
La técnica se hizo bien conocida en 2008 después de que los investigadores Robert Hansen y Jeremiah Grossman descubrieran un tipo de ataque que afectaba a la aplicación Flash de Adobe y podía dar al atacante acceso remoto a la cámara web y al micrófono de las víctimas.
Desde entonces, muchos fabricantes de navegadores y sitios web han tomado medidas para defenderse, pero la inmensa mayoría de websites siguen desprotegidos, según Paul Stone, consultor de seguridad de Context Information Security, quien ha expuesto cuatro nuevas formas de ataques de clickjacking efectivas contra la mayor parte de webs y navegadores.
En una demostración, Stone utilizó una API de “arrastrar y soltar” implementada en todos los navegadores. Con alguna ingeniería social, los usuarios podrían resultar engañados para arrastrar un elemento sobre una página web y ello provocar la inserción de texto en algunos campos.
Stone ha desarrollado una herramienta que permite a los desarrolladores probar las nuevas técnicas de clickjacking y que está disponible para su descarga en el sitio web de Context Information Security.
La técnica se hizo bien conocida en 2008 después de que los investigadores Robert Hansen y Jeremiah Grossman descubrieran un tipo de ataque que afectaba a la aplicación Flash de Adobe y podía dar al atacante acceso remoto a la cámara web y al micrófono de las víctimas.
Desde entonces, muchos fabricantes de navegadores y sitios web han tomado medidas para defenderse, pero la inmensa mayoría de websites siguen desprotegidos, según Paul Stone, consultor de seguridad de Context Information Security, quien ha expuesto cuatro nuevas formas de ataques de clickjacking efectivas contra la mayor parte de webs y navegadores.
En una demostración, Stone utilizó una API de “arrastrar y soltar” implementada en todos los navegadores. Con alguna ingeniería social, los usuarios podrían resultar engañados para arrastrar un elemento sobre una página web y ello provocar la inserción de texto en algunos campos.
Stone ha desarrollado una herramienta que permite a los desarrolladores probar las nuevas técnicas de clickjacking y que está disponible para su descarga en el sitio web de Context Information Security.
