mercoledì 9 febbraio 2011

Clickjacking: applicazioni spam collegate alle false pagine del GF 11


Una vulnerabilità che affligge tutti i browser permette a chi gestisce un sito di far clickare l’utente dove vuole, costringendolo, di fatto, ad agire sotto il suo controllo mentre si trova sulle pagine del suo sito. La tecnica usata viene chiamata clickjacking (“autostop dei click”, “scippo dei click”). Il clickjacking consiste in sostanza nell’appropriarsi dei click che l’utente esegue su un oggetto A (che si trova all’interno di una pagina web) e redirigerli, a sua insaputa, sull’oggetto B. L’oggetto B si trova dentro la stessa pagina web ma potrebbe non essere visibile. E’ una tecnica che sfrutta alcune vulnerabilità tipiche in Javascript o Iframe: in pratica durante una normale navigazione web, l’utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realtà il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto.



Con questa tecnica si può portare l’utente a svolgere qualunque operazione desiderata senza che l’utente stesso se ne possa accorgere.


Ad esempio, in questo caso l’utente viene indotto a cliccare sull'immagine per far partire un presunto video, ma in realtà non partirà alcun filmato e si è ritroverà iscritto a un'applicazione nascosta (tramite i frame) dietro una falsa pagina, esterna a Facebook (Open Graph Protocol).



Collegate a queste pagine troviamo diverse applicazioni su Facebook tra le quali "ilgf11" e "lamiamiss1". Dato che non visionerete alcun presunto video osè, il nostro consiglio è quello di bloccare le due applicazioni


cliccando rispettivamente su questo link e su quest'altro link. Facebook è particolarmente esposto ad attacchi di tipo “clickjacking”. Oltre ai presunti problemi legati alla privacy e alle applicazioni, secondo l’esperto di sicurezza Nitesh Dhanjani un utente malintenzionato potrebbe utilizzare un sito web appositamente modificato per ottenere un parziale controllo degli account di Facebook. In pratica sarebbe sufficiente un qualsiasi spazio all’interno di Facebook tale da contenere alcune stringhe di codice, invisibili all’utente, per effettuare una serie di azioni sul social network: un clic su un semplice link contenuto nella pagina da parte del visitatore potrebbe così esporre il profilo Facebook dell’utente a una serie di pericolose attività. Basti pensare ad esempio tutte le volte che si utilizza un gioco su Facebook, utilizzare una qualsiasi applicazione: in questi casi puo essere inserito del codice nascosto.

Nessun commento:

Posta un commento