Clickjacking: nový hackerský postup dovoluje zneužít Flash Player k odposlechu uživatelů - Grafika.cz - vše o počítačové grafice

13. října 2008, 00.00 | Nová metoda podstrčení škodlivého kódu prostřednictvím Webu umožní mimo jiné zneužít instalaci Flash Playeru ke kontrole uživatelova mikrofonu či webkamery, přičemž postiženi mohou být uživatelé ve Windows, Mac OS X i Linuxu. Jaký postup zde Adobe doporučuje k eliminaci rizik? A co dalšího může být díky clickjackingu na Webu zneužito?

V minulém týdnu se pravděpodobně nejdiskutovanějším tématem ohledně bezpečnosti Word Wide Webu stal tzv. clickjacking, tedy v podstatě nová metoda (resp. celý soubor metod) zneužití počítače prostřednictvím nežádoucí interakce uživatele s webovou stránkou, na které jsou zakryty (tedy pro uživatele neviditelné) útočníkem podstrčené aktivní řídící prvky (odkazy, jiné stránky, formuláře apod.). Nebezpečí se výraznou měrou týká nejen všech hlavních webových prohlížečů, ale i platformy Flash, resp, Flash Playeru, u něhož byly demonstrovány postupy, dovolující s pomocí clickjackingu použít zabudovaný mikrofon či webkameru počítače k odposlouchávání a sledování jeho uživatele. Jak konkrétně clickjacking funguje a jakým způsobem hodlá Adobe jeho nebezpečí pro Flash Player eliminovat? A jaká další nebezpečí se v případě dané metody naskýtají?

Clickjacking blíže

S upozorněním na novou metodu zneužití webových prezentací označenou jako clickjacking přišli nedávno odborníci na počítačovou bezpečnost Jeremiah Grossman a Robert Hansen. Nejprve za daným účelem kontaktovali výrobce předních webových prohlížečů dneška (Microsoft, Mozilla Foundation, Apple) a dále též společnost Adobe, kterou upozornili na možnost zneužití dané metody v případě Flash Playeru. Po dohodě s oslovenými společnostmi se pak rozhodli pozdržet veřejnou prezentaci svých zjištění do doby, nežli oslovení výrobci pokročí v přípravě záplat ošetřující nebezpečí clickjackingu.

V úterý 7. 10. nicméně jiný výzkumník bezpečnostní problematiky Guy Aharonovsky, na Internetu zveřejnil ukázku clickjackingu vycházejícího z některých dříve publikovaných tvrzení Grossmana a Hansena. Tato ukázka se týká Flash Playeru: Aharonovskeho kód ukrytý v JavaScriptové hře zde dovoluje při hraní bez uživatelova vědomí odklikat (kliky „navíc,“, kterých si uživatel při hraní nevšimne) nastavení Settings Manageru Flash Playeru, ovládaného přes Web tak, aby se pod kontrolu útočníka dostaly mikrofon či webová kamera daného počítače. Takto lze tedy umožnit například nežádoucí odposlech či sledování uživatele.  Vše názorně demonstruje následující video.

Uvedeným způsobem přitom mohli být postiženi uživatelé všech platforem podporujících Flash, tedy mimo Windows i Mac OS X a Linuxu. Adobe reagovala na danou ukázku velmi rychle, zveřejnila odpovídající doporučení, eliminující celkově možnost zneužití mikrofonu a webkamery přes Flash Player (viz další výklad) a navíc ošetřila i odpovídající problémové chování Settings Manageru (odpovídající postup napověděl Aharonovsky ve svém článku).

Daná událost pak také přiměla Grossmana a Hansena k tomu, aby konečně zveřejnili své zásadní postřehy o clickjackingu. Hlavním materiálem je v tuto chvíli článek Clickjacking Details na blogu Ha.ckers.org. Tento nemá vzhledem k jeho obsáhlosti smysl na tomto místě reprodukovat celý, spokojme se jen se shrnutím jeho hlavních tezí.

Pod pojmem clickjacking se podle daných expertů míní celá sada metod, dovolujících nežádoucím způsobem přesměrovat uživatele na jiné weby či na jejich počítačích provádět jiné nežádoucí operace, týkajících se zabezpečení či přístupu na zabezpečené stránky a služby (CSRF - Cross-site request forgery). Napadení přitom funguje tím způsobem, že se uživateli na webové stránce „podstrčí“ odkazy, celé stránky či jiné prvky, skryté pod zdánlivě nevinným obsahem a tyto jsou pak ovládány útočníkem požadovaným způsobem (viz Aharonovskeho příklad). K ukrytí a napadení lze použít celou řadu metod, mimo JavaScriptu také třeba kaskádové styly, prvek iFrame, formulářová pole, ActiveX komponenty a konečně i Flash prezentace (průhledné či na stránkách zakryté prvky aj.). Zneužít je takto možno v podstatě všechny současné prohlížeče (včetně připravovaného Internet Exploreru 8.0) s výjimkou těch, jenž předkládají uživateli čistě textový obsah, jako je například Lynx (a jenž jsou používány opravdu jen minoritně, ke speciálním účelům).

Jak ochránit Flash Player?

Jak již bylo naznačeno výše, Adobe již dříve po upozornění ze strany expertů přistoupila k tvorbě odpovídajících oprav Flash Playeru a eliminovala nebezpečí, na které poukázal Aharonovsky. V odpovídající security advisory pak doporučuje postup, jak zcela zamezit nebezpečí odposlechu prostřednictvím mikrofonu či webkamery počítače. Uživatel Flash Playeru by měl otevřít panel Global Privacy Settings v Adobe Flash Player Settings Manageru, jenž se nachází pod tímto odkazem. Následně je třeba stisknout tlačítko „Always deny“ a volbu potvrdit tlačítkem „Confirm“. Tím je odmítnut přístup k mikrofonu či webové kameře přes Web z Flashové aplikace, uživatelé, kteří chtějí toto užití povolit pro určité servery, mohou tak učinit prostřednictvím panelu Website Privacy Settings Settings Manageru, dostupného pod tímto odkazem. Daný materiál Adobe pak rovněž popisuje změny v nastaveních Flash Playeru, které by měli provést administrátoři IT.

Na konci října by měla být situace vyřešena systémověji, tj. zveřejněním odpovídajících záplat, resp.Flash Playeru 10. Další detaily budou průběžně zveřejňovány na stránkách Adobe Security Bulletinu a blogu Adobe Product Security Incident Response Teamu, a dále prostřednictvím Adobe security notification service, do které se lze přihlásit zde.

Závěrem

Je clickjacking skutečně zásadním bezpečnostním problémem webových prezentací, zejména těch, jenž jsou postaveny na bohatším programovém kódu (RIA, Ajax, Silverlight)? Nebo jde jen o teoreticky zajímavý koncept, který v reálu nikdy nikoho nezasáhne, a který v současnosti pouze slouží k tomu, aby se zviditelnilo několik expertů na bezpečnostní problematiku? Na tyto otázky dnes nezná odpověď zřejmě nikdo. Každopádně je faktem, že kromě Adobe již na eliminaci možných rizik pracují třeba i vývojáři spojeni s prohlížečem Firefox - konkrétně se takto přičiněním Giorgio Maoneho dostává uživatelům do rukou plugin NoScript, dovolující ošetřit různá napadení daného typu. Dá se pak předpokládat, že s odpovídajícími záplatami a doporučeními pro své produkty přijdou i hlavní výrobci webových prohlížečů. A doufejme, že se opravdu nedočkáme úspěšných nasazení clickjackingu v praxi.