Clickjacking baart zorgen

Hoe het invoegen van die kwaadaardige webpagina onder de legitieme nu precies in zijn werk gaat, houdt men angstvallig geheim. Dat moet de browserleveranciers wat extra tijd geven om een oplossing voor het probleem te ontwikkelen. De Poolse beveiligingsspecialist Michal Zalewski omschrijft het als volgt: “Een kwaadaardige pagina in domein A kan een IFrame maken dat wijst naar een applicatie in domein B waar de gebruiker op dit moment geautoriseerd is met cookies. De bovenste pagina bedekt dan delen van het iFrame met andere visuele elementen om alles te verbergen met een enkele UI-knop in domein B, zoals ‘delete alles’ of ‘click om Bob toe te voegen als een vriend’. Dan kan het een misleidende UI aanbieden die inhoudt dat de knop een ander doel dient en deel is van site A, waarbij gebruikers uitgenodigd worden erop te klikken.”Eddy Willems, beveiligingsspecialist bij Kaspersky Labs, houdt het er voorlopig op dat “het veel weg heeft van cross-site scripting”. Symantec kan ook weinig details prijsgeven, maar benadrukt “de gebeurtenissen te monitoren en onderzoek te doen”. Er is nog geen sprake van een wijdverbreid misbruik van het probleem. Willems: “Maar als er niet snel iets komt, zitten we mogelijk wél met grote problemen. Zo’n aanval stop je niet zomaar. Gaat het om een bestand dat op je systeem geplaatst wordt, dan is het minder erg. Dat kun je tegenhouden met antimalware- en antivirussoftware.” Hij wijst erop dat het probleem heel snel evolueert. “Theoretisch zijn massale aanvallen wel mogelijk. Dit is geen klein probleem. Een patchje is hiervoor niet genoeg; dit vereist een zeer serieuze ingreep in de browsers.” Een workaround is er al wel. Door alle browserplug-ins en scriptings uit te zetten, wordt het risico sterk verkleind. Dat beperkt echter weer wel het internetgebruik.