Clickjacking, il virus del click “noscript”

di DiGi

Eccolo non poteva mancare, dopo una varietà diversa di virus worm e simili, di certo non poteva chiudere un occhio il virus del click.

Clickjacking è il nuovo virus scoperto da 2 ricercatori americani Robert Hansen e Jeremiah Grossman, i quali hanno così illustrato il problema:

«pensate ai pulsanti di un sito Web, i bonifici delle banche, i pulsanti di Digg, i banner pubblicitari, le queue di Netflix, eccetera. La lista è virtualmente illimitata e si tratta di esempi relativamente innocui. Poi considerate un attacco in grado di porsi in maniera invisibile tra questi pulsanti e il mouse degli utenti, facendo in modo che quando si preme un pulsante visibile, in realtà si stia premendo qualcos’altro che un utente malintenzionato desidera».

Quindi con questo metodo è possibile far fare all’utente qualsiasi cosa per titare l’acqua al mulino del malintenzionato, ma queste purtoppo sono solo alcune delle cose che si potrebbero fare con il virus clickjacking, infatti

«mettiamo che un utente abbia un router wireless autenticato per poter andare su di un sito Web ,legittimo», ha dichiarato Grossman: «il cracker potrebbe porre sotto il mouse un tag che comanda al pulsante di mandare un ordine al router, ad esempio per cancellare tutte le regole che riguardano il firewall, avvantaggiando così notevolmente un possibile attacco».

I due ricercatori stanno collaborando con Microsoft, Mozilla e Apple per cercare di eliminare clicjacking il visur del click, ma dato che questa è una falla negli standard che il World Wide Web usa, non è semplice.

L’unico consiglio non valido al 100% che trapela è quello di installare questo plugin noscript per firefox , non valido al 100% perchè i malintenzionati potrebbero usare ranquillamente i tag iframe, quindi un altro consigli sarebbe quello di controllare la voce “Forbid IFRAME“, la quale voce deve essere abilitata.

[via]