Internet
Wie gefährlich ist Clickjacking?
Wie gemeldet (Clickjacking) droht neues Ungemach an der Browserfront. Per Clickjacking können Hacker Browser wie Internet Explorer, Firefox, Opera oder Safari so manipulieren, dass den Anwender auf präparierte Knöpfe drückt, die dann ungewünschte Aktionen auslösen. Doch wie gefährlich ist Clickjacking wirklich?
Bisher gibt es ja nur spärliche Informationen zu der neuen Angriffsfläche. Klar ist nur, dass jeder am Markt vorhandene Browser potentiell betroffen ist. Diese neue Form des Hijacking hatten kürzlich zwei amerikanische Forscher vorgestellt, ohne jedoch zu sehr ins Detail zu gehen, um nicht gleich eine Bedienungsanleitung für Hacker zu liefern.
Dabei ist Clickjacking keineswegs neu. Es ist zum einem dem CSRF (Cross-Site Request Forgery) sehr ähnlich, welches bereits seit den 1990er Jahren bekannt ist. Ob nun Zufall oder nicht: Mozilla hatte kürzlich 11 Bugs im neuen Firefox 3 behoben, die vor allem die Sicherheit betrafen. Diese sind in der aktuellen Version 3.0.2 nun integriert. Zu den 11 Bugs gehörte auch eine Variante des Clickjacking, welche in ähnlicher Form bereits den Internet Explorer betroffen hatte. Microsoft hatte den Fehler schon einmal 2003 und dann wieder 2004 gepatcht.
Der Sicherheitsexperte Michal Zalewski, welcher mittlerweile für Google arbeitet, erklärte, wie das Clickjacking funktioniert:
Auf einer infizierte Seite A wird ein iframe bereit gestellt. Ein iframe ist ein HTML-Element, welches dafür sorgt, dass andere Webinhalte als Unterfenster des Browsers dargestellt werden. Wenn man also auf ein iframe klickt geht ein neues Browserfenster auf. Dieses Verfahren wird oft u.a. bei Werbebannern eingesetzt. Wenn also nun ein solches iframe auf Seite A vorhanden ist, welches auf ein Ziel auf Seite B verweist, dann kann so etwas potentiell für Clickjacking missbraucht werden. Das iframe kann so manipuliert werden, dass weitere visuelle Effekte erscheinen, die das eigentliche Klickziel optisch unsichtbar machen, aber stattdessen einen UI-Knopf auf Seite B erscheinen lassen.