Clickjacking: Bedienklicks heimlich entführen

SicherheitSicherheitsmanagement

Internet-Kriminelle finden immer wieder neue Wege. Ein neuer Angriff entführt die Klicks, die beim Bedienen von Webseiten zwangsläufig anfallen.

Sicherheitsexperten nennen diesen Angriff “Click-Jacking”, oder auch “UI Redressing”. Der Trick funktioniert mit einer transparenten Webseiten-Oberfläche. Diese Oberfläche schiebt sich wortwörtlich still und heimlich über ganz normale Webseiten und der Nutzer benutzt Eingabeflächen, ohne davon etwas zu merken. Auch erfahrene Nutzer werden mit dieser Methode überlistet, wenn sie ihren Browser interaktiv mit Java, Java Scripting, Silverlight, Flash nutzen. Auf YouTube ist eine Demonstration dieses Angriffs zu sehen, zusätzlich kann man auf einer Testseite nacherleben, wie dieser perfide Angriff unter der eigenen Tastatur und Maus sich anfühlt.

Adobe empfiehlt ein Update auf den Flash Player 10. Wer den Flash Player 9 nutzen will, der muss sich bis Anfang November gedulden, bis die Schwachstelle ausgemerzt ist. Die anderen Hersteller arbeiten noch daran diese Methode zu unterbinden. Wer jedoch den Browser Firefox nutzt, der kann mit der reputierten Extension “NoScript “ die interaktiven Elemente von Webseiten stufenweise abblocken. Nutzer anderer Browser haben noch nicht die Möglichkeit diese Gefahr gezielt abzuwehren. (Martin Bobowsky)