•  
     

Clickjacking: uma nova ameaça na web

O mal que ronda todos os navegadores

Foi descoberta uma nova espécie de ameaça na web. Batizada de "clickjacking" por Robert Hanses (fundador e CEO da SecTheory) e Jeremiah Grossman (CTO da WhiteHarSecurity) — ambos pesquisadores de segurança —, essa nova classe de vulnerabilidade afeta praticamente todos os navegadores do mercado, como Firefox, Safari, Internet Explorer, Opera e Chrome. Através desta técnica os hackers conseguem, entre outras coisas, controlar a webcam e o microfone das vítimas devido a uma falha no "Flash Player" da "Adobe".

Sobre o clickjacking, Grossman resume: "Pense em qualquer botão em qualquer site. Podem ser os botões do Digg, banners de CPC, da Netflix.... A lista é quase infinita. Imagine que o ataque ‘sequestra’ esse botão, ou seja, o usuário clica no botão pensando estar tudo bem, mas na verdade ele clica no que o cracker escolheu". E adianta que "os criminosos podem fazer muitas coisas ruins com ele".

Em outras palavras, o cracker infecta botões legítimos em um site legítimo sem que o usuário perceba, e quando este clica acaba baixando malwares ou entrando em páginas contaminadas.

Por enquanto, faz-se certo mistério em torno do problema. Os pesquisadores de segurança disseram que só irão revelar suas pesquisas quando a Adobe enviar a correção para a vulnerabilidade de clickjacking no Flash.

Acesse o blog oficial da Adobe e atualize seu Flash.Sendo assim, o pouco que nos resta fazer enquanto esperamos os browsers se atualizarem contra esse novo mal é buscar o Lynx, navegador antigo criado em 1992, que permite apenas texto. É claro que esta não é uma alternativa muito conveniente, afinal a Internet é cheia de conteúdo gráfico. Outra opção é baixar o complemento gratuito para o Firefox: NoScript, que bloqueia JavaScript, Flash e Java content, mantendo a segurança em "quase 99,99% dos casos". Mais recentemente, também a Adobe publicou uma solução temporária para o clickjacking em seu blog oficial.

Esperamos — Hanses, Grossman e nós — que logo isto tudo seja resolvido. Mas até lá é bom alertar que "todo cuidado é pouco".


fonte: http://baixaki.ig.com.br/info/1126-clic ... na-web.htm