Clickjacking, lo último en vulnerabilidades para navegador; todos los navegadores afectados

Investigadores de seguridad advirtieron el viernes sobre una nueva clase de vulnerabilidades llamadas "clickjacking" que pone a los usuarios de todos los navegadores en riesgo de ser atacados.

Los detalles de los múltiples defectos – han sido contados seis distintos tipos- son vagos, conforme los investigadores, quienes presentaron sus descubrimientos en una conferencia de seguridad esta semana y han mantenido la información confidencial a propósito esperando ya que al menos una empresa trabaja en una solución.

Aunque el problema de clickjacking ha sido asociado con los navegadores – usuarios de Internet Explorer, Firefox, Safari, Opera y Google Chrome entre otros son vulnerables al ataque – el problema es en realidad más profundo, dijo Robert Hansen, fundador y jefe ejecutivo de SecTheory LLC y uno de los dos investigadores que discutieron el problema en una sesión semi-cerrada OWASP AppSec 2008 el miércoles.

En una entrevista el viernes, llamó clickjacking similar a una petición entre sitios falsa, un tipo conocido de vulnerabilidad y ataque que algunas veces tiene el nombre de CRSF o sidejacking. Pero clickjacking es lo suficientemente distinto que las provisiones de seguridad actuales anti-CRSF integradas en los navegadores, sitios y aplicaciones web son inútiles.

"En un nivel alto, casi todo está afectado por él," dijo Hansen. "El problema es que mucha gente pasa mucho tiempo defendiéndose contra el CSRF que no vieron venir esto. Esto funciona de una manera completamente distinta, y tiene problemas de alcance más amplios. Los atacantes puede hacer que los usuarios hagan click en un botón donde podrían no debería ser posible hacer click en un botón en JavaScript".
El socio de investigación de Hansen, Jeremiah Grossman, jefe de tecnología en WhiteHat Security Inc., explicó cómo los atacantes pueden explotar las vulnerabilidades de clickjacking.

"Piensa en cualquier botón de la red, interna o externa, que puedes hacer que aparezca entre las paredes de los navegadores," (sic) dijo Grossman en un correo electrónico el viernes. "Transferencias entre bancos, botones de Digg, banners de publicidad de CPC, etc. La lista es virtualmente infinita y estos son ejemplos relativamente benignos."

Él y Grossman han estado en contacto con Microsoft, Mozilla y Apple, los fabricantes de los navegadores Internet Explorer, Firefox, y Safari respectivamente. Juntos, los programas de esas compañías abarcan el 98 por ciento de todos los navegadores usados el mes pasado, de acuerdo a datos de Net Applications.

No queda claro qué tan en serio están tomando las advertencias los fabricantes de los navegadores, sin embargo, o que tan pronto actualizarán sus aplicaciones. "Todos están trabajando en soluciones" dijo Hansen. "Pero nadie dijo necesariamente que entregarán algo para su próxima versión."

Por el momento, la mejor defensa en contra de clickjacking es usar Firefox con el addon NoScript instalado. Los usuarios que corran esa combinación estarán seguros, dijo Hansen, en contra "de una buena parte de los problemas, 99,99 por ciento en este momento."

Mientras tanto, la gente no debe entrar en modo pánico. "En verdad, hay un número muy pequeño de compañías que pueden hacer algo al respecto," dijo.

Fuente: Macworld