Clickjacking

Clickjacking je způsob útoku na uživatele webových stránek, při kterém uživatel nějakou činností na zdánlivě neškodné stránce (např. kliknutím na tlačítko či obrázek) spustí akci, kterou nepředpokládal. Tato technika využívá zranitelnost, která se vyskytuje ve většině stávajících prohlížečů na všech platformách.

Název

Anglické slovo clickjacking vzniklo jako blend slov click (kliknutí) a hijacking (únos), neboť clickjacking využívá uživatelova kliknutí na stránku, které však zneužije pro jiný účel. Tento termín se objevil v roce 2008 v práci Jeremiaha Grossmana a Roberta Hansena.^[1]

Tento útok se také označuje jako UI redressing (převléknutí uživatelského rozhraní).^[2]

Princip útoku

Stránka využívající clickjacking má na pozadí neškodný obsah – např. vtipné obrázky a vedle nich odkaz, který o sobě tvrdí, že vede na další stránku obrázků. Dále je však do stránky vložen rám se zcela jinou stránkou a ten je zobrazen přes obsah na pozadí, avšak se zapnutou průhledností, takže o něm uživatel neví. Když se následně uživatel pokusí kliknout na odkaz, který má vést na další stránku, ve skutečnosti kliká na neviditelnou stránku navrchu.^[3] Tím může na cílové stránce provést prakticky libovolnou akci, aniž by o tom věděl a souhlasil.

Cílová stránka může být klidně zabezpečený web, na který se uživatel musí přihlašovat heslem; stačí, aby se někdy předtím na tento web přihlásil a server si stále jeho přihlášení pamatoval, pak se akce provede tak, jako by ji tento přihlášený uživatel provedl sám úmyslně. Uživatel tak může následkem útoku např. nevědomky koupit nějaké zboží v e-shopu, snížit zabezpečení svého profilu na sociální síti, smazat článek z redakčního systému atd.

Clickjacking je aplikací problému zmateného zástupce.

Příklady zneužití

Mezi dokumentované případy využití clickjackingu patří například zpřístupnění webkamery a mikrofonu prostřednictvím Adobe Flash^[4] či šíření odkazů prostřednictvím Facebooku^[5][6] či Twitteru.^[7]

Ochrana

Provozovatelé webových stránek se proti podobným útokům mohou bránit tím, že znemožní zobrazení své stránky uvnitř rámu. Taková obrana (označovaná jako framebuster, framekiller či framebreaker) se zpravidla realizuje prostřednictvím JavaScriptu, to však často bývá provedeno nedokonale, takže útočník dokáže takovou ochranu obejít.^[8]

Firma Microsoft v IE8 zavedla nový způsob ochrany proti clickjackingu, ten později implementovaly i prohlížeče Mozilla Firefox,^[9] Apple Safari,^[10] Google Chrome^[11] a Opera.^[12] Tato ochrana spočívá v zavedení nové HTTP hlavičky X-FRAME-OPTIONS, prostřednictvím které server sděluje prohlížeči, zda je dovoleno příslušný obsah zobrazit uvnitř rámu.^[13] Pokud tedy např. e-shop všechny potenciálně nebezpečné stránky posílá s touto hlavičkou a útočná stránka se pokusí načíst je do rámu, v rámu se objeví jen upozornění prohlížeče, že požadovaný obsah nemůže být z bezpečnostních důvodů zobrazen. Jiný návrh, se kterým přišla Mozilla, má zahrnovat ochranu proti clickjackingu v rámci obecnějšího mechanismu označovaného jako Content Security Policy.^[14]

Cílená ochrana proti clickjackingu na klientské straně je prozatím velmi slabá; z běžně používaných nástrojů obsahuje takovou ochranu jen rozšíření NoScript pro prohlížeč Mozilla Firefox.^[15]

Reference

1. GROSSMAN, Jeremiah; HANSEN, Robert. Clickjacking [online]. SecTheory, 2008-09-12 [cit. 2010-07-29]. Dostupné online. (anglicky) 
2. ZALEWSKI, Michał. Dealing with UI redress vulnerabilities inherent to the current web [online]. 2008-09-25 [cit. 2010-07-29]. Příspěvek do mailing listu whatwg.. Dostupné online. (anglicky) 
3. BALDUZZI, Marco, et al. A Solution for the Automated Detection of Clickjacking Attacks. In: FENG, Dengguo; BASIN, David A; LIU, Peng. Proceedings of the 5th ACM Symposium on Information, Computer and Communications Security. Beijing: ACM, 2010. Dostupné v archivu pořízeném dne 2010-06-12. ISBN 978-1-60558-936-7. Archivováno 12. 6. 2010 na Wayback Machine.
4. KREJČÍ, Richard. Clickjacking: nový hackerský postup dovoluje zneužít Flash Player k odposlechu uživatelů. Grafika.cz [online]. 2008-10-13 [cit. 2010-08-02]. Dostupné online. 
5. Facebook "clickjacking" spreads across site. BBC News [online]. 2010-06-03 [cit. 2010-08-02]. Dostupné online. 
6. JEMELKA, Petr. Facebook napaden: hackeři si vyšlápli na „líbí“ knoflík. Aktuálně.cz [online]. Economia, 2010-06-03 [cit. 2010-08-02]. Dostupné online. 
7. MILLS, Elinor. Twitter hit with 'Don't Click' clickjacking attack. CNET News [online]. 2009-02-12 [cit. 2010-08-02]. Dostupné v archivu pořízeném z originálu dne 2009-08-06. 
8. RYDSTEDT, Gustav, et al. Busting Framebusting: a Study of Clickjacking Vulnerabilities at Popular Sites [online]. 2010-05-20 [cit. 2010-08-02]. Dostupné v archivu pořízeném dne 2010-06-13. Dostupné také slajdy PPT [1]. (anglicky) 
9. Mozilla Developer Network. The X-Frame-Options response header [online]. Rev. 2010-09-08 [cit. 2010-09-09]. Dostupné v archivu. (anglicky) 
10. NARAINE, Ryan. Apple Safari jumbo patch: 50+ vulnerabilities fixed. ZDNet [online]. 2009-06-08 [cit. 2010-09-09]. Dostupné online. (anglicky) 
11. BARTH, Adam. Security in Depth: New Security Features. The Chromium Blog [online]. 2010-01-26 [cit. 2010-09-09]. Dostupné online. (anglicky) 
12. LAWRENCE, Eric. Combating ClickJacking With X-Frame-Options. EricLaw’s IEInternals [online]. 2010-03-30 [cit. 2010-09-09]. Dostupné online. 
13. LAWRENCE, Eric. IE8 Security Part VII: ClickJacking Defenses. IEBlog [online]. 2009-01-27 [cit. 2010-09-09]. Dostupné online. 
14. MozillaWiki [online]. Mozilla Foundation, rev. 2009-04-07 [cit. 2010-09-09]. Článek Security/CSP. 
15. MAONE, Giorgio. Hello ClearClick, Goodbye Clickjacking!. hackadamix.net [online]. 2008-10-08 [cit. 2010-09-09]. Dostupné online. 

Externí odkazy

• Obsáhlý seriál věnovaný Clickjackingu (česky)

Související články

• Cross-site request forgery