Clickjacking: uma nova ameaça na web
Foi descoberta uma nova espécie de ameaça na web. Batizada de "clickjacking" por Robert Hanses (fundador e CEO da SecTheory) e Jeremiah Grossman (CTO da WhiteHarSecurity) — ambos pesquisadores de segurança —, essa nova classe de vulnerabilidade afeta praticamente todos os navegadores do mercado, como Firefox, Safari, Internet Explorer, Opera e Chrome. Através desta técnica os hackers conseguem, entre outras coisas, controlar a webcam e o microfone das vítimas devido a uma falha no "Flash Player" da "Adobe".
Sobre o clickjacking, Grossman resume: "Pense em qualquer botão em qualquer site. Podem ser os botões do Digg, banners de CPC, da Netflix.... A lista é quase infinita. Imagine que o ataque ‘sequestra’ esse botão, ou seja, o usuário clica no botão pensando estar tudo bem, mas na verdade ele clica no que o cracker escolheu". E adianta que "os criminosos podem fazer muitas coisas ruins com ele".
Em outras palavras, o cracker infecta botões legítimos em um site legítimo sem que o usuário perceba, e quando este clica acaba baixando malwares ou entrando em páginas contaminadas.
Por enquanto, faz-se certo mistério em torno do problema. Os pesquisadores de segurança disseram que só irão revelar suas pesquisas quando a Adobe enviar a correção para a vulnerabilidade de clickjacking no Flash.
Sendo assim, o pouco que nos resta fazer enquanto esperamos os browsers se atualizarem contra esse novo mal é buscar o Lynx, navegador antigo criado em 1992, que permite apenas texto. É claro que esta não é uma alternativa muito conveniente, afinal a Internet é cheia de conteúdo gráfico. Outra opção é baixar o complemento gratuito para o Firefox: NoScript, que bloqueia JavaScript, Flash e Java content, mantendo a segurança em "quase 99,99% dos casos". Mais recentemente, também a Adobe publicou uma solução temporária para o clickjacking em seu blog oficial.
0 comentários:
Postar um comentário