Internet Explorer, Firefox, Safari, Opera, Chrome, y otros son vulnerables a una nueva clase de ataques.  La amenaza, denominada Clickjaking (secuestro de clic), se iba a discutir en la conferencia OWASP NYC AppSec 2008, pero por solicitud de Adobe y otros proveedores de software afectados, esta charla fué pospuesta hasta que se tenga listo un arreglo completo.

Aunque la vulnerabilidad ha sido asociada a los navegadores, el problema es mucho más profundo, según Robert Hansen quién es fundador y jefe ejecutivo de SecTheory LLC, y uno de los investigadores que dió la charla de forma semi-privada sobre la vulnerabilidad en la OWASP.

El ataque básicamente consiste de que el atacante es capaz de tomar el control de los vínculos del navegador al visitar un sitio malicioso.  Una vez que uno está en la página web maliciosa, el atacante puede forzarlo a hacer clic en cualquier vínculo, cualquier botón, o en cualquier cosa de la página sin que ni siquiera uno se entere de lo que está pasando.

Esta vulnerabilidad no tiene nada que ver con JavaScript así que no sirve de nada deshabilitarlo del navegador.  El problema viene de una falla en la forma de trabajar del navegador y que no puede ser resuelto con un parche sencillo.

El problema afecta a todos los distintos navegadores con excepción de navegadores tipo Lynx.   El hecho de que esta vulnerabilidad no afecta a Lynx es porque la misma necesita DHTML.  No se debe permitir el uso de frames para evitar el clickjacking entre dominios (cross clickjacking), pero aún así el atacante puede forzarlo en hacer clic en cualquier vínculo de la página.

Hay muchas soluciones posibles para evitar estos ataques, pero solo una tiene sentido, los únicos que pueden solucionar este problema de una forma escalable, son los que desarrollan los navegadores.  Ya se han puesto en contacto con Microsoft, Mozilla y Apple, quienes en conjunto possen el 98% del mercado con sus respectivos navegadores.  Estas empresas ya están trabajando en el problema, pero no necesariamente significa que distribuyan una solución en su próxima versión.

Hasta ahora la mejor solución consiste en usar Firefox con el Add-on NoScript instalado, esta combinación es bastante segura ya que proveería un 99,9% de protección al usuario, sin embargo, esto funcionaría para usuarios con suficientes conocimientos técnicos, así que no es la solución correcta.

Mientras tanto, los usuarios pueden entrar en pánico, sobre todo porque en la realidad son pocas las empresas que pueden hacer algo al respecto.  Los investigadores Hansen y Grossman planean publicar en Internet toda su investigación, incluyendo los códigos que prueban su investigacíón, una vez que Adobe publique un parche para evitar estos ataques,  se cree que Flash es vulnerable pero Hansen declinó a confirmar que efectivamente es este el software de Adobe afectado.

Artículos relacionados:

1. ¿Deberiamos preocuparnos por el clickjacking? Hace unos días atrá publique una noticia acerca del resultado...
2. Descubierta vulnerabilidad crítica en SQL Server Microsoft reveló el dia de ayer la existencia de una...
3. Nueva vulnerabilidad de Facebook revela las páginas de Fan de los usuarios Una nueva vulnerabilidad de Facebook permite ver las páginas de...
4. ¿Cómo sería un ataque de clickjacking? Definitivamente, uno de los temas que más revuelo a levantado...
5. Add-on de Firefox protege contra ataques de clickjacking Aunque ya era conocido por muchos que el famoso Add-on...