Los hackers están engañando con el redirecciónamiento de los navegadores
Adobe ha advertido de graves ataques engañosos de «clickjacking». Adobe ha publicado recientemente una alerta de seguridad acerca que su software Flash es vulnerable a una práctica conocida como ‘clickjacking ».
El Clickjacking implica subvertir una página web a fin de que cuando un usuario haga clic en un vínculo inmediatamente sea redirigido a un sitio previamente preparado por el Hacker y donde puede controlar la presencia del visitante. Esta es una variante del ataque de Cross-site scripting, pero parece ser mucho más grave.
Los detalles del ataque han sido publicados y dados a conocer en la Conferencia de Nueva York de la OWASP AppSec 2008, pero la charla fue retrasada por solicitud de Adobe hasta que pudieran desarrollar una solución.
Jeremiah Grossman, co-fundador de Whitehat de Seguridad, y uno de los investigadores que descubrieron estas técnicas, dijo en un blog de la publicación: «Vamos a ser claros. La responsabilidad de resolver los ataques de clickjacking no descansa únicamente sobre la empresa Adobe, ya que existe una tonelada de partes móviles a considerar.
«Todos los proveedores incluidos Adobe y los diseñadores de navegadores, (además de otros plug-in de los proveedores), los propietarios de sitios web (framebusting código) y los usuarios de la web (Ampliamente) todos necesitamos soluciones propias en caso de que los otros no hagan lo suficiente o nada en absoluto».
Grossman advirtió que casi todos los navegadores son vulnerables debido a la forma en que procesan los gráficos, y sólo los navegadores basados en el modo texto como Lynx (Bajo Linux) son seguros.
El investigador ha demostrado cómo un anuncio Flash hackeado podría ser utilizada para tomar el control de un ordenador y de su webcam y incluso activar el micrófono, por ejemplo, convirtiéndolo automáticamente en un dispositivo de vigilancia y espionaje.
«Con clickjacking los atacantes pueden hacer mucho daño. Algunas cosas podrían ser bastante escalofriantes. Cosas que también dependen por supuesto, de una cantidad justa de ingenio, pero que pueden será realizadas con bastante facilidad», dijo.
Los EE.UU. Computer Emergency Response Team también ha emitido una seria advertencia sobre la práctica de los fabricantes de los navegadores ya que se pelean por lograr ser líderes en disponer de un método de derrotar esta clase de ataques.
Deja una respuesta