Einzelheiten zu Clickjacking-Angriffen veröffentlicht

Demzufolge sind viele Browser und Websites anfällig für Clickjacking-Attacken. Dabei lassen Angreifer die ahnungslosen Anwender anstatt auf legitime Links auf eine Stelle klicken, die eine von den Kriminellen definierte, beliebige Aktion auslöst. Beispielsweise könnte so eine Website-Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einem für den User unsichtbaren Button überlegt werden. Über diesen lassen sich die Informationen an den Angreifer übermitteln.

Eine detaillierte Enthüllung der neuen Schwachstellengattung sollte bereits auf der OWASP-Konferenz stattfinden. Allerdings wurde dies seinerzeit auf Wunsch von Adobe kurzfristig abgesagt, nachdem der Hersteller einen schnellen Patch für einen Clickjacking-Bug in seinem Flash Player zugesagt hatte. Vor zwei Tagen veröffentlichte der israelische Forscher Guy Aharonovsky jedoch eine Proof-of-Concept-Demo eines Clickjacking-Angriffs, die wesentliche Details der Bedrohung preisgab. Darin zeigte er, wie sich die Einstellungen in Adobes Flash-Player aus der Ferne so verändern lassen, dass Angreifer mit einem für den Anwender vermeintlich harmlosen Mausklick heimlich Mikrofon und Kamera eines Rechners einschalten und in ihren Besitz bringen können.

Daraufhin publizierte Hansen in seinem Blog zwölf Clickjacking-Probleme in Browsern, Plug-ins und Javascript. Bei Aharonovskys Demo handle es sich lediglich um ein Beispiel dessen, was mit Clickjacking alles möglich sei - es gebe multiple Varianten, erklärt der Experte. So erforderten einige Angriffsszenarien Domain-übergreifenden Zugriff, andere nicht. Bei manchen würden ganze Seiten über eine Website gelegt, während andere i-Frames nutzten, um Anwender dazu zu bringen, auf eine bestimmte Stelle zu klicken. Einige erforderten JavaScript, wieder andere nutzen CSRF (Cross-Site Request Forgery), um Daten vorab in Formulare zu laden.