Video demostrativo de la técnica de Clickjacking

Hace unos días os hablábamos de la técnica de Clickjacking que está preocupando a mucha gente y os comentábamos que navegadores eran seguros y cuales no, ahora os queremos dejar este vídeo demostrativo.

En el vídeo podéis ver que simplemente con que un usuario haga clic en una ventana del navegador es suficiente para permitir a los atacantes acceder a su ordenador.

En el flash desarrollador por Guy Aharonovsky se puede ver como un usuario va haciendo clic en diferentes botones y cuando hace clic en un botón jacked el usuario cambia sus parámetros de Adobe Flash Placer y permite al atacante acceder a su micrófono y su webcam.

El flash estaba disponible en forma de juego, pero al parecer ya no se puede jugar, aunque si que se puede ver el vídeo:

Si os fijáis en el vídeo se puede ver como el usuario tiene que ir haciendo clic en un botón a modo de juego con la finalidad de que hacer clic en el administrador de configuración, una vez el usuario hace clic en la configuración, se abre un iframe en primer plano y la ventana principal que se veía se queda en segundo plano.

El iframe sigue siendo invisible de modo que el usuario no se da cuenta de que realmente ha hecho clic en la ventana de configuración de Flash Player.

Adobe se ha dado prisa y ha revisado la ventana de administración del sitio Web de Flash Player, ese es el motivo por el que el juego no funciona actualmente, pero con el video se ilustra muy bien el problema del Clickjacking.

Además, según Aharonovsky deshabilitar el JavaScript no remedia el problema, ya que el ataque también puede ser aplicado en Flash, Java, Silverlight o DHTML.

Seguiremos atentos al problema del Clickjacking y esperamos poder informaros de más detalles sobre el Clickjacing y como protegerse ante él.

Fuente:

• Malicious camera spying using ClickJacking, report from Guy Aharonovsky
• Clickjacking Details, report from Robert Hansen
• Flash Player workaround available for "Clickjacking" issue, report from Adobe