La solicitarea Adobe Hackers Nix clickjacking 'Talk

După ce Adobe Systems le-a cerut să păstreze tăcerea cu privire la constatările lor, doi cercetători de securitate au scos dintr-o discuție tehnică în care urmau să demonstreze cum puteau să profite de controlul browserului victimei folosind un atac online numit "clickjacking. "

Robert Hansen și Jeremiah Grossman au fost pregătiți să-și transmită discuțiile săptămâna viitoare la conferința OWASP (Open Web Security Project) de la New York. Dar dovada codului conceptual pe care au dezvoltat-o ​​pentru a arăta cum a declanșat atacul prin clickjacking a dezvăluit o eroare într-unul dintre produsele Adobe. După o săptămână de discuții cu Adobe, cercetătorii au decis ultima vineri să tragă discuția.

Deși Hansen și Grossman cred că defectul clickjacking este în cele din urmă în modul în care sunt proiectate browserele de Internet, Adobe le-a convins să-și țină seama de discuția lor până când pot elibera un plasture. "Adobe crede că pot face ceva pentru a face ca hack-ul să fie mai greu", a declarat Grossman, CTO cu White Hat Security. Într-un interviu, atacantul lovește victima făcând clic pe link-uri Web răuvoitoare, fără să-și dea seama. Acest tip de atac a fost cunoscut de ani de zile, dar nu a fost considerat a fi deosebit de periculos. Experții în domeniul securității au crezut că ar putea fi folosiți pentru a comite fraude cu clicuri publicitare sau pentru a umfla evaluările Digg pentru o pagină Web, de exemplu.

Cu toate acestea, scriind codul de probă al conceptului, Hansen și Grossman și-au dat seama că clickjacking- serios decât au crezut inițial.

"Când l-am construit în sfârșit și am obținut dovada conceptului, a fost destul de urât", a spus Grossman. "Dacă voi controla ce faceți clic, cât de rău pot face? Se pare că puteți face o serie de lucruri cu adevărat rele."

Nici Grossman, nici Hansen, directorul de consultanță SecTheory, n-au vrut să intre în detalii de atac. Cu toate acestea, Tom Brennan, organizatorul conferinței OWASP, a declarat că a văzut codul de atac demonstrat și că permite atacatorului să preia controlul asupra desktop-ului victimei.

Cercetătorii spun că nu au fost presați de Adobe pentru a renunța la discuții. "Nu este un rău", omul încearcă să ne țină în situația hackerilor ", a scris Hansen pe blogul său luni.

Luni, Adobe a postat o notă, mulțumindu-i pe cercetători pentru păstrarea bug-ului privat și indicând că compania face eforturi pentru a remedia problema.

Chiar dacă dezvăluirea bug-ului poate ajuta atacatorii, Brennan de la OWASP a spus că cercetătorii ar trebui să continue să vorbească pentru a oferi profesioniștilor IT posibilitatea de a înțelege natura reală a amenințării. "Există o problemă de zero zile în browsere care afectează milioane de oameni de astăzi", a spus el. "Când o persoană discută despre asta, pune pe toată lumea pe același câmp de joc". Hansen și Grossman spun că și ei se așteaptă ca Microsoft să corecteze o eroare în Internet Explorer și că multe alte browsere sunt de asemenea afectate de problema clickjacking. "Credem că este mai mult sau mai puțin o problemă de securitate a browserului", a spus Grossman