Saltar para o conteúdo

Clickjacking

Origem: Wikipédia, a enciclopédia livre.
Em um ataque de clickjacking, o usuário é apresentado a uma interface falsa, onde sua entrada é aplicada a algo que não pode ver

O clickjacking (classificado como um ataque de correção da interface do usuário) é uma técnica maliciosa de induzir um usuário a clicar em algo diferente do que o usuário percebe, potencialmente revelando informações confidenciais ou permitindo que outras pessoas assumam o controle de seu computador enquanto clicam em objetos aparentemente inócuos, incluindo páginas da web..[1][2][3][4][5] Clickjacking é um exemplo de problema do deputado confuso, em que um computador é enganado e faz uso indevido de sua autoridade.[6]

Origem

Em 2002, notou-se que era possível carregar uma camada transparente em uma página da web e fazer com que a entrada do usuário afetasse a camada transparente sem que o usuário percebesse. No entanto, isso foi ignorado principalmente como uma questão importante até 2008. Em 2008, Jeremiah Grossman e Robert Hansen descobriram que o Adobe Flash Player podia ser clicado, permitindo que um invasor ganhasse acesso ao computador sem o conhecimento do usuário.[7] O termo clickjacking foi cunhado por Grossman e Hansen,[8][9] uma aglutinação das palavras click (clique) e hijacking (sequestro). À medida que mais ataques de natureza semelhante foram descobertos, o foco do termo "reparação de interface do usuário" foi alterado para descrever a categoria desses ataques, em vez de apenas o clickjacking propriamente dito.[7]

Categorias de clickjacking

  • Clássico: funciona principalmente através de um navegador da web[7]
  • Likejacking: utiliza os recursos de mídia social do Facebook[10][11]
  • Aninhado: clickjacking adaptado para afetar o Google+[12]
  • Cursorjacking: manipula a aparência e a localização do cursor[7]
  • MouseJacking: injeta entrada de teclado ou mouse via link RF remoto[13]
  • Sem navegador: não usa navegador[7]
  • Cookiejacking: adquire cookies de navegadores[7][14]
  • Filejacking: capaz de configurar o dispositivo afetado como um servidor de arquivos[7][15][16]
  • Ataque do gerenciador de senhas: clickjacking que utiliza uma vulnerabilidade na capacidade de preenchimento automático dos navegadores[7]

Referências

  1. Robert McMillan (17 de setembro de 2008). «At Adobe's request, hackers nix 'clickjacking' talk». PC World. Consultado em 8 de outubro de 2008. Cópia arquivada em 17 de julho de 2015 
  2. Megha Dhawan (29 de setembro de 2008). «Beware, clickjackers on the prowl». India Times. Consultado em 8 de outubro de 2008. Arquivado do original em 24 de julho de 2009 
  3. Dan Goodin (7 de outubro de 2008). «Net game turns PC into undercover surveillance zombie». The Register. Consultado em 8 de outubro de 2008 
  4. Fredrick Lane (8 de outubro de 2008). «Web Surfers Face Dangerous New Threat: 'Clickjacking'». newsfactor.com. Consultado em 8 de outubro de 2008. Arquivado do original em 13 de outubro de 2008 
  5. Shahriar, Hossain; Devendran, Vamshee Krishna (4 de julho de 2014). «Classification of Clickjacking Attacks and Detection Techniques». Information Security Journal: A Global Perspective (em inglês). 23 (4–6): 137–147. ISSN 1939-3555. doi:10.1080/19393555.2014.931489 
  6. The Confused Deputy rides again!, Tyler Close, October 2008
  7. a b c d e f g h Niemietz, Marcus (2012). «UI Redressing Attacks on Android Devices» (PDF). Black Hat 
  8. You don't know (click)jack Robert Lemos, October 2008
  9. JAstine, Berry. «Facebook Help Number 1-888-996-3777». Consultado em 7 de junho de 2016 
  10. «Viral clickjacking 'Like' worm hits Facebook users». Naked Security (em inglês). 31 de maio de 2010. Consultado em 23 de outubro de 2018 
  11. «Facebook Worm – "Likejacking"». Naked Security (em inglês). 31 de maio de 2010. Consultado em 23 de outubro de 2018 
  12. Lekies, Sebastian (2012). «On the fragility and limitations of current Browser-provided Clickjacking protection schemes» (PDF). USENIX 
  13. «Wireless Mouse Hacks & Network Security Protection». MOUSEJACK (em inglês). Consultado em 3 de janeiro de 2020 
  14. Valotta, Rosario (2011). «Cookiejacking». tentacoloViola - sites.google.com. Consultado em 23 de outubro de 2018 
  15. «Filejacking: How to make a file server from your browser (with HTML5 of course)». blog.kotowicz.net. Consultado em 23 de outubro de 2018 
  16. «Password Managers: Attacks and Defenses» (PDF). Consultado em 26 de julho de 2015 
Obtida de "https://pt.wikipedia.org/w/index.php?title=Clickjacking&oldid=64147971"