Clickjacking

Bu sene Barcelona'da düzenlenen Europe Black Hat konferansı sona erdi. Konferansta bir çok güvenlik uzmanı çeşitli brifingler verirken en çok dikkat çeken sunum Paul Stone'un yeni clickjacking tehditleri hakkında olanıydı. Stone bir yazdığı bir araç yardımıyla clickjacking saldırılarının kullanıcıları nasıl ciddi bir şekilde tehdit ettiğini gösterdi.

Gizli bir iFrame içine yerleştirilen birleşenler sayesinde kullanıcıların yaptığı bir çok şey saldırganın tarafına gönderilebiliyor. Bunların arasında formlara yazılan yazılar ya da açılan sayfalar da mevcut. Stone geliştirdiği "taşı ve bırak" aracı sayesinde bu saldırıların Internet Explorer, Firefox, Chrome ve Safari tarayıcılarında yapılabileceğini gösterdi.

Tarayıcınızda yaptığınız basit bir "klik" siz farkında olmadan webcam ya da mikrofonunuzu dışarıdan erişime açabilir. Clickjacking olarak tabir edilen yeni saldırı metodu ile çeşitli web öğelerinde bulunan güvenlik açıkları kullanılarak bilgisayara uzaktan erişim sağlanabiliyor. Flash geliştiricisi Guy Aharonovsky Adobe Flash'ın, Flash Player Setting Manager'ında bulunan bir açıkla nasıl kullanıcının flash özelliklerinin değiştirilebildiğini ya da izinsiz olarak nasıl webcam ya da mikrofonlarının çalıştırıldığını hazırladığı demo ile anlatıyor.

Kendini bir JavaScript oyunu olarak tanımlayan uygulama içerisindeki bir objeye tıklandığında arka planda açılan IFrame ile dışarıdan Flash özelliklerine erişim sağlanabiliyor. Ayrıca tarayıcıdan javascript'i kapatmakta bir çözüm olmuyor. Benzer saldırılar Flash, DHTML, Silverlight ve Java üzerinden de yapılabiliyor. Demoda kullanılan açık için Adobe güncelleştirme yaptı. Bu nedenle demoyu isterseniz YouTube üzerinden izleyebilirsiniz.