Neue Gefahr für Browser: Clickjacking - Wissenswertes und Aktuelles rund um Computer & Internet

internetInternet

Clickjacking: Neue Gefahr für Browser

clickjacking

Sicherheitsexperten schlagen Alarm: Eine ganz neue Form der Attacke bedroht Browser wie Internet Explorer, Firefox, Opera, Chrome oder Safari. Es gibt derzeit noch wenige Details über die neuen Angriffsmöglichkeiten, da die Forscher, die sie entdeckten, die Informationen möglichst vertraulich behandeln wollen. Schließlich möchte man nicht dazu beitragen, dass die Sicherheitslecks sofort von Internet-Piraten genutzt werden. Zudem arbeitet mindestens ein Anbieter bereits an einem entsprechenden Bugfix.

Es soll sich jedenfalls um sechs verschiedene Angriffsmöglichkeiten handeln. Obwohl der Clickjacking-Bug hauptsächlich Browser betrifft und somit die Nutzer von Firefox & Co, liegt das Problem weit tiefer, wie Robert Hansen von SecTheory LLC auf einer Sicherheitskonferenz sagte. Er ist einer der beiden Forscher, die das Leck erstmals öffentlich bekannt machten.

Clickjacking soll grundsätzlich mit CSRF (Cross-Site Request Forgery) oder Sidejacking zu vergleichen sein. Beim CSRF wird ein Browser so manipuliert, dass er die vom Angreifer gewünschte Aktion ausführt. Für den Firefox gibt es ein Addon namens NoScript, welches gegen das Cross-Site Scripting (XSS) schützt, eine Form des CSRF. Auch andere Browser verfügen über Vorkehrungen, die gegen CSRF schützen sollen. Das neue Clickjacking hingegen wird dabei derzeit noch nicht abgedeckt.

Hansen sagte, dass ab einem bestimmten Level im Grunde jedermann davon betroffen ist. Das Problem sei, dass viele Leute viel Zeit darin investiert hätten, Browser gegen CSRF-Angriffe zu schützen. Dabei sei die neue Form des Clickjacking schlicht nicht vorhergesehen worden. Dieses arbeite ganz anders und biete eine weit größere Angriffsfläche.

Vom Grundsatz her funktioniert Clickjacking so, dass der Angreifer den Nutzer dazu bringen kann, einen bestimmten Button auf einer Webseite anzuklicken. Das geschieht in der Praxis ja sehr oft, z.B. wenn man auf einen Werbebanner klickt, einen Social Bookmark Knopf drückt oder eine Online Banküberweisung abschickt. Die Liste würde endlos sein.

[Fortsetzung]


Lesen Sie auch die Beiträge:
Wie gefährlich ist Clickjacking?
2009: Bot-Netze auch im Handy Bereich!

© 33y.de, Impressum
Eingetragene Markenzeichen sind Eigentum der jeweiligen Rechteinhaber