Browsers estão vulneráveis a ataques 'clickjacking', alerta pesquisador
Por ComputerWorld/EUA
Publicada em 29 de setembro de 2008 às 07h00
Continuação da página anterior
"Quase todos são afetados pela ameaça", disse Hansen. "O problema é que muitas pessoas que levam muito tempo para se defender contra os pedidos falsos dos sites, e não vêem o ataque acontecendo. Ele tem um alcance muito mais amplo, fazendo usuários clicar em um botão de forma que não conseguiriam pelo JavaScript".
O parceiro de Hansen na pesquisa, Jeremiah Grossman, chefe de tecnologia do WhiteHat Security Inc., explicou como crackers podem explorar as vulnerabilidades do clickjacking.
"Pense em qualquer botão de qualquer site, interno ou externo", disse Grossman. "Ligações em transferências bancárias, botões do Digg, banners publicitários, etc. A lista é interminável e estes exemplos são relativamente inofensivos. Em seguida, considere que um ataque pode pairar invisivelmente sob estes botões abaixo do mouse. Quando o usuário clica em algo que está vendo, na verdade, está clicando em algo que o cracker quer que ele clique".
Hansen acrescenta que "se você tiver um roteador sem fio em casa autenticado antes de visitar um site legítimo, o cracker poderia colocar uma etiqueta sob seu mouse que forje um único botão, podendo deletar todas as regras do seu firewall. Isso facilita o ataque".
Há duas possíveis soluções para o problema de clickjacking, mas apenas uma faz sentido. "As únicas pessoas que poderiam corrigir esse problema são os desenvolvedores de browsers", disse Hansen.
Ele e Grossman entraram em contato com a Microsoft, Mozilla e Apple, fabricantes do IE, Firefox e Safari, respectivamente. Juntas, essas companhias somam mais de 98% de participação no mercado de navegadores, segundo a Net Applications.
Gregg Keizer, editor da Computerworld, dos EUA
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
- Cracker divulga código que explora vulnerabilidade no QuickTime
- Proteja-se de ataques que pegam carona na popularidade de redes sociais
- Pesquisador apresenta novo ataque que ameaça sistemas DNS
- Flash Player falso pode ser detectado pelo usuário, aconselha Adobe
- Acesso a redes sociais ameaça redes corporativas, afirma Trend Micro
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- McDonald´s quer reforçar integração tecnológica na América Latina
- Saiba os cuidados que blogueiros devem ter na hora de fazer campanha na rede
- 5 razões para ficar com o Windows XP
- Vendas do Snow Leopard superam em duas vezes a de seu antecessor
- Número de celulares habilitados no Brasil cresce 1,62% em agosto
- Camisetas para nerds são o suprassumo da moda geek
Celular zumbi
Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.
Da pescaria de senhas aos espiões de namoradas
Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.
Links patrocinados
Guia de Contratação para a Profissão de Segurança da Informação
Enterprise Workload Automation com Scheduling Dinâmico
Você sabe quais os principais problemas encontrados nas redes de pequenas e médias empresas?
Prevenção completa contra perda de dados
Segurança da informação como estratégia para inovação dos negócios
Sete tipos de problemas com No-Break
Modelo de eficiência elétrica em centros de dados
Implementação de data centers eficientes em termos de energia
Veja como utilizar o conteúdo do site líder em notícias sobre tecnologia a seu favor.