По просьбе Adobe Хакерс Nix «clickjacking» Talk

После того, как Adobe Systems попросили их молчать о своих выводах, два исследователя безопасности вышли из технической беседы, где они собирались продемонстрировать, как они могут захватить контроль над браузером жертвы, используя онлайн-атаку под названием «clickjacking.

Роберт Хансен и Джеремия Гроссман были готовы выступить на следующей неделе на конференции OWASP (Open Web Application Security Project) в Нью-Йорке. Но доказательство концептуального кода, который они разработали, чтобы показать, как их атака с использованием кликов, разгласила ошибку в одном из продуктов Adobe. После недели обсуждений с Adobe, исследователи решили в прошлую пятницу вытащить разговор.

Хотя Хансен и Гроссман считают, что недостаток кликнинга в конечном итоге заключается в том, как создаются интернет-браузеры, Adobe убедила их отложить обсуждение пока они не выпустят патч. «Adobe думает, что они могут сделать что-то, чтобы сделать взломать все сложнее», - сказал Гроссман, технический директор White Hat Security.

В атаке с щелчком мыши злоумышленник обманывает жертву нажатием на вредоносные веб-ссылки, не осознавая этого. Этот тип атаки известен годами, но не считался особо опасным. Эксперты по безопасности считали, что это может быть использовано для совершения мошенничества с рекламными кликами или для повышения рейтинга Digg для веб-страницы, например.

Однако, написав код доказательной концепции, Хансен и Гроссман поняли, что clickjacking на самом деле больше серьезный, чем они думали раньше.

«Когда мы, наконец, построили его и получили доказательство концепции, это было довольно неприятно», - сказал Гроссман. «Если я буду контролировать то, на что вы нажимаете, насколько я могу это сделать? Оказывается, вы можете сделать ряд действительно, очень плохих вещей».

Ни Гроссман, ни Хансен, генеральный директор консалтинговой компании SecTheory, не захотели разобраться в деталях их атаки. Тем не менее, Том Бреннан, организатор конференции OWASP, сказал, что он видел, что продемонстрировал код атаки, и что он позволяет злоумышленнику полностью контролировать рабочий стол жертвы.

Исследователи говорят, что Adobe не нажимали на них, чтобы отказаться от их разговоров, «Это не зло,« человек пытается удержать нас от хакеров », - писал Хансен в понедельник в своем блоге.

В конце понедельника Adobe опубликовала заметку, поблагодарив исследователей за то, что эта ошибка была закрыта, и указав, что компания работает над исправлением проблемы.

Даже если раскрытие ошибки может помочь злоумышленникам, Бреннан из OWASP сказал, что исследователи должны продолжать идти вперед и давать свои разговоры, чтобы дать ИТ-специалистам возможность понять реальный характер угрозы, «В браузерах есть проблема с нулевым днем, которая сегодня затрагивает миллионы людей», - сказал он. «Когда человек обсуждает это, он помещает всех в одно и то же игровое поле».

Хансен и Гроссман говорят, что они также ожидают, что Microsoft исправит связанную ошибку в Internet Explorer и что многие другие браузеры также затронуты проблемой clickjacking, «Мы считаем, что это более или менее проблема безопасности браузера, - сказал Гроссман.