Browsers estão vulneráveis a ataques ‘clickjacking’, alerta pesquisador

Pesquisadores de segurança alertaram, na sexta-feira (26/09), para uma nova classe de vulnerabilidades apelidada de “clickjacking”, que coloca usuários da maioria dos browsers sob risco de ataque.

Clickjacking é uma espécie de “seqüestro” do clique do usuário que, percebendo ou não, clica em um link – que pode estar invisível – inserido em um site por meio de uma falha considerada ‘zero day’, presente no Internet Explorer, Firefox, Safari, Opera, Google Chrome e outros. O bug afeta também o Flash, da Adobe.

Os pesquisadores que apresentaram suas descobertas mantiveram suas informações confidenciais – de propósito – pelo menos até que um fabricante comece a trabalhar na correção.

Embora o ataque esteja associado a navegadores, o problema é mais profundo, segundo Robert Hansen, fundador e CEO da SecTheory LLC e um dos dois pesquisadores que discutiram o bug durante a AppSec 2008, realizada na quarta-feira (24/09).

Há boatos, inclusive, de que a falha esteja associada ao Flash, o “onipresente” player multimídia da Adobe que a maioria dos usuários executa como plug-in em seus navegadores. Não é preciso comprometer um site legítimo para conduzir este ataque.

Hansen considera o clickjacking similar aos pedidos falsos de sites, um tipo conhecido de vulnerabilidade que surge por um ataque de cross-site request forgery (CRSF), quando comandos não-autorizados são transmitidos por um usuário que o site confia. O clickjacking, contudo, é diferente o bastante para que os anti-CRSF dos navegadores, sites e aplicativos online se tornem inúteis.
Gregg Keizer, editor da Computerworld, dos EUA