Clickjacking

Clickjacking ist eine Technik, bei der ein Computerhacker die Darstellung einer Internetseite überlagert und dann dessen Nutzer dazu veranlasst, scheinbar harmlose Mausklicks und/oder Tastatureingaben durchzuführen.

Dabei lassen Angreifer die ahnungslosen Anwender – scheinbar – auf die überlagerten Objekte klicken. Tatsächlich jedoch wird der ursprüngliche Inhalt (Button/Link) der Internetseite ausgelöst. So geschieht es, dass der User – anstatt lediglich auf die ihm vorgegaukelten Links an einer Stelle zu klicken – eine vom Hacker definierte, beliebige Aktion auslöst.

Dies betrifft Seiten, die beispielsweise Links und Schaltflächen zur Konfiguration von Systemeinstellungen enthalten. Während der Nutzer also denkt, er tätige harmlose Eingaben in einer Internetseite, ändert er in Wahrheit, ohne es zu merken, z. B. Einstellungen einer angeschlossenen Kamera oder eines Mikrophons.

Beispielsweise kann so auch eine Website-Schaltfläche, die zum Absenden von Anmeldedaten dient, mit einem für den User unsichtbaren Button überlagert werden. Über diesen lassen sich die Informationen an den Angreifer übermitteln.

Im Extremfall kann ein Hacker also sein Opfer beobachten, belauschen oder sensible Daten übermitteln lassen.

Gegenmaßnahmen

Clickjacking ist ein konzeptionelles Problem von JavaScript und Webanwendungssicherheit. Es beruht nicht auf einem "Fehler" des Anwendungsprogrammierers, insofern sind Gegenmaßnahmen nicht trivial.

Fast alle Browser haben inzwischen die Möglichkeit eingeführt, dass Webanwendungen einen Header "X-Frame-Options"^[1] senden, der dem Browser anzeigt, ob die Webseite in einem Frame angezeigt werden darf oder nicht. Möglich sind hierfür die Werte "DENY" (Seite darf nicht in Frame angezeigt werden) und "SAMEORIGIN" (Seite darf nur von Frames auf der selben Domain angezeigt werden). Voraussetzung für diesen Schutz ist aber, dass er sowohl von der Webanwendung, als auch vom Browser unterstützt wird. Der Header ist bislang kein offizieller Standard. Unterstützt wird er vom Internet Explorer ab Version 8.0, Firefox ab 3.6.9, Opera ab 10.50, Safari ab 4.0 und Chrome ab 4.1.249.1042. Konqueror unterstützt diese Möglichkeit bislang nicht.

Eine weitere Möglichkeit besteht darin, dass die Webanwendung überprüft, ob sie in einem I-Frame ausgeführt wird und dies unterbindet. Dies kann sowohl per Javascript als auch serverseitig geschehen.

Literatur

• Franco Callegati, Marco Ramilli: Frightened by Links. In: IEEE Security and Privacy. 7, 6, Nov. 2009, ISSN 1540-7993, S. 72–76, doi:10.1109/MSP.2009.177.

Weblinks

• Meldung auf heise.de
• Einzelheiten zu Clickjacking-Angriffen veröffentlicht. computerworld.ch (10. Oktober 2008). Abgerufen am 24. November 2008.
• Clickjacking Demo (Firefox)
• New Insights into Clickjacking – Owasp AppSec Research 2010
• UI Redressing: Attacks and Countermeasures Revisited
• Web Application Security Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen

Quellen

1. ↑ https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header