همه چیز در مورد Clickjacking

ادوبی نسخه جدیدی از نرم افزار فلش پلیر خود را منتشر ساخت که در آن یک اشکال امنیتی خیلی حساس که می توانست اینترنت را به مکانی خطرناک تبدیل کند، را بر طرف کرد. این اشکال به هکرها اجازه می داد تا از آنچه به آن Clickjacking می گوییم سوء استفاده کنند. برای کسانی که نمی توانند فلش پلیر خود را به نسخه 10 ارتقاء دهند نیز یک patch امنیتی منتشر می شود.

اما clickjacking چیست؟
Clickjacking که هنوز به طور گسترده مورد استفاده غیرقانونی قرار نگرفته است از یک ماه پیش که شناخته شد تا به حال توجهات زیادی را به خود جلب کرده است. فلش تنها نرم افزاری نیست که در برابر حملات clickjacking آسیب پذیر است ولی حملات فلش جزو خطرناک ترین آنها شناخته می شود. محققان امنیتی که این مشکل را کشف کردند، رابرت هانسن و جرمیا گرسمن، قرار بود روز 24 سپتامبر در یک کنفرانس عمومی در مورد این اشکال به تفصیل صحبت کنند اما بنا بر درخواست ادوبی قرار بود تا زمان انتشار patch آن صبر کنند. به هر حال هفته پیش یک محقق امنیتی دیگر، گای آهارنوسکی، نشان داد چگونه یک حمله clickjacking در فلش کار می کند و هانسن و گرسمن هم یافته های خود را منتشر کردند.

یک حمله clickjacking چگونه رخ می دهد؟
در یک حمله clickjacking یک هکر از تکنولوژی های مختلفی استفاده می کند تا کنترل کامپیوتر را از آنچه قربانی خود به او می دهد، کلیک، به دست گیرد. مثلاً در یک حمله ابتدا هکر قربانی را به بازدید از یک سایت مخرب می کشاند و سپس، کلیک بر روی آنچه به ظاهر یک لینک عادی است. در واقعیت قربانی روی چیزهایی کلیک می کند که روی هم رفته متفاوت باشند، مثلاً یک فلش که میکروفن را روشن می کند. واقعاً برای کاربر غیرممکن است که بفهمد وقتی روی لینک کلیک می کند چه اتفاقی می افتد.

ابعاد یک حمله clickjacking چقدر است؟
یک clickjacker می تواند کامپیوتر قربانی را استراق سمع کند و کامپیوتر را مجبور سازد تا معاملات آنلاین انجام دهد، صفحات یک بلاگ را پاک کند، تنظیمات دیوار آتش آن را تغییر دهد، یک اکانت ایمیل جدید باز کند یا حتی مجبور کند نرم افزاری را دانلود کند. از آنجا که clickjacking روی سایر پلاگین های مرورگر نیز تأثیر می گذارد، بهترین روش برای اصلاح مشکل تغییر کارکرد مرورگرهاست.

برچسب‌ها: clickjacking, فلش, فلش پلیر, هک, هکر, اینترنت, ادوبی