Clickjacking

El clickjacking és una tècnica maliciosa per fer que un usuari cliqui a una cosa diferent de la que percep, per revelar informació confidencial o agafant control del seu ordinador mentre ell clica a pàgines web aparentment innòcues.^[1][2][3][4] És un assumpte de seguretat del navegador que és una vulnerabilitat a través d'una varietat de navegadors i plataformes.Un clickjack agafa la forma de codi incrustat o un programa que es pot executar sense el coneixement de l'usuari, com clicar en un botó que realitza una altra funció.^[5] El terme "clickjacking" va ser creat per Jeremiah Grossman i Robert Hansen el 2008.^[6] El clickjacking pot ser entès com un cas del problema d'assistent confós, un terme utilitzat per descriure quan un ordinador és innocentment embogit fent mal ús de la seva autoritat.^[7]

Clickjacking és possible perquè característiques de pàgines de web HTML aparentment inofensives poden ser emprades per fer accions inesperades.Un clickjacked la pàgina burla un usuari fent accions indesitjables clicant en un enllaç encobert. En un pàgina que testigui clickjacked, els atacants carreguen una altra pàgina per sobre d'aquesta una capa transparent. Els usuaris creuen que estan clicant els botons visibles, mentre de fet estan fent accions en la pàgina invisible/amagada. La pàgina amagada pot ser una pàgina autèntica; per això, els atacants poden fer que els usuaris mai van pretendre fer. No hi ha cap manera de traçar mitjançant aquestes accions als atacants més tard, ja que els usuaris haurien estat realment autenticats en la pàgina amagada.

Exemples

Un usuari podria rebre un correu electrònic amb un enllaç a un vídeo sobre una notícia, però una altra pàgina web, per exemple, una pàgina de producte d'Amazon.com, pot ser "amagat" a dalt o per sota el "botó" de començar el vídeo de la notícia. L'usuari intenta reproduir el vídeo però de fet "compra" el producte d'Amazon. El hacker només pot enviar un sol clic, així que confien en el fet que el visitant està connectat a Amazon.com i que té habilitat l'opció de "compra en 1 clic".

Altres exploits coneguts inclouen:

• Fent que els usuaris habilitin la seva càmera web i micròfon a través de Flash (encara que això ha estat fixat que va ser informat)
• Fent que usuaris comparteixin informació de treball a les xarxes socials públicament
• Descarregant i executant malware (programari maliciós) permetent a un atacant remot per agafar control d'altres ordinadors^[8][9][10]
• Fent els usuaris segueixen algú a Twitter^[11]
• Compartint o agradant enllaços a Facebook^[12][13]
• Aconseguint "m'agrada" a la "fan page" del Facebook o +1 a Google+^[14]
• Clickar a anuncis de Google Adsense per generar ingressos de clic
• Executar vídeos de YouTube per obtenir vistes
• Seguir algú a Facebook