Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Populäre Browser weiterhin für Clickjacking-Angriffe anfällig [2.Update]

Eine Demo zeigt, dass Googles Browser Chrome für derartige Angriffe anfällig ist. Die Demo funktioniert auch mit Firefox. Microsofts Anti-Clickjacking-Funktion im IE8 ist weitgehend nutzlos.

In Pocket speichern vorlesen Druckansicht 250 Kommentare lesen
Lesezeit: 3 Min.
Security
Von
  • Daniel Bachfeld

Eine vom Sicherheitsspezialisten Aditya K Sood veröffentlichte Demo zeigt einmal mehr, dass die Browserhersteller immer noch keine Abhilfe gegen die im vergangenen Jahr als Clickjacking bekannt gewordenen Angriffsmethode gefunden haben. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente im iFrame, beispielsweise Buttons in Weboberflächen auf Routern, die Einstellungen verändern oder Aktionen starten.

So ähnlich arbeitete auch Soods Demo, die eigentlich nur zeigen sollte, dass der Google-Browser Chrome für Click-Jacking verwundbar ist. Sie funktioniert aber auch mit der aktuellen Versionen von Firefox. Die Demo führt vor, wie der Browser beim Schweben des Mauszeigers über einem Link in der Statusleiste zwar zunächst die richtige URL anzeigt, im vorliegenden Fall yahoo.com, der Klick dann allerdings die Cross-Site-Scripting-Datenbank xxsed.com aufruft. Phisher könnten dies für ihre Zwecke ausnutzen.

Die im Firefox-Plug-in NoScript implementierte Anti-Clickjacking-Funktion ClearClick wehrte den Angriff in einem kurzen Test der heise-Security-Redaktion ab, sodass der Browser wie gewünscht yahoo.com aufrief. Allerdings warnte NoScript nicht vor dem Angriff. [Update]Ein erneuter Test zeigte, dass allein das Blockieren von JavaScript der schützende Faktor ist. Sobald man das Ausführen von Skripten erlaubt, funktioniert die Demo trotz aktiviertem ClearClick-Schutz. NoScript erkennt offenbar nicht alle Varianten von Clickjacking[/Update]

Grundsätzlich ist auch der Internet Explorer für Clickjacking anfällig, Soods Demo funktioniert hier jedoch nicht. Microsoft plant immerhin in Version 8 des Internet Explorer eine Anti-Clickjacking-Funktion einzuführen – im Release Candidate ist sie bereits vorhanden. Allerdings handelt es sich nach Aussagen von Browserspezialisten eher um einen passiven Schutz, der darauf vertraut, dass Webseiten-Entwickler einen bestimmten Header an den Browser senden, um den Clickjacking-Missbrauch von Buttons zu verhindern.

Laut Giorgio Maone, dem Entwickler von NoScript, handelt es sich dabei um den Header-Zusatz:"X-FRAME-OPTIONS: DENY". Solange eine Seite dies nicht signalisiert, arbeitet der Schutz nicht. Da nicht damit zu rechnen ist, dass demnächst alle Betreiber von Webservern oder Entwickler von Weboberflächen den proprietären Header mitsenden, ist die Anti-Clickjacking-Funktion im Internet Explorer 8 nutzlos.

[2.Update]Nach Meinung von Giorgio Maone, dem NoScript-Entwickler, handelt es sich bei der Demo um keine Clickjacking-Attacke. Vielmehr werden offenbar sowohl die yahoo- als auch die xxsed-Seite vom Browser aufgerufen, wobei dann letztlich die xssed-Seite angezeigt wird. Damit lässt sich der Fehler nicht für das unbemerkte Klicken auf Buttons ausnutzen.[/2.Update]

Siehe dazu auch:

(dab)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten