"Kaikkien selainaukkojen äiti" luultuakin pahempi
0
Ohjelmistotalot korjaavat paraikaa huippuvaaralliseksi kuvailtua clickjacking-turva-aukkoa, jonka aiemmin kerrottiin vaivaavan kaikkia nettiselaimia. Nyt tutkijat ovat paljastaneet ongelman koko laajuudessaan. Haavoittuvien ohjelmistojen ja lisäosien listasta tuli hetkessä niin pitkä, että turvareikien määrää näyttää olevan vaikea edes kartoittaa. Rikollisilla on lukuisia mahdollisuuksia hyödyntää clickjacking-ongelmaa.
Ongelman löysivät kaksi tietoturvatutkijaa, mutta he eivät paljastaneet turvaongelman yksityiskohtia Adoben pyynnöstä. Nyt nettiin on kuitenkin postitettu clickjacking-mallihyökkäys, joten turvatutkijat ja Adobe päättivät julkaista tiedot.
Hyökkääjä voi "klikkailla" käyttäjän tietämättä
Kyseessä on laaja selaimia, niiden lisäosia ja muitakin web-ohjelmia vaivaa ongelmaryhmä. Clickjacking-nimi viittaa siihen, että hyökkääjä voisi ikään kuin varastaa käyttäjän hiiren klikkauksia nettisivuilla, ja pakottaa käyttäjän hyväksymään asioita tietämättään.
Adoben Flash-tekniikassa clickjacking-ongelma mahdollistaa esimerkiksi myös tietokoneen videokameran vakoilun.
Turvatutkija esittelee blogissaan 12 erilaista tapaa, jolla rikolliset voisivat käyttää ongelmaa. Aukkojen avulla on mahdollista tehdä kriittisiä hyökkäyksiä, joten ongelma pitää korjata nettiselaimissa ja niiden monissa lisäosissa.
Turvatutkija kiittelee esimerkiksi Adoben, Microsoftin, Firefoxin ja Applen nopeaa toimintaa ongelmien korjaamisessa. Vaikka korjaustyö on hyvässä vauhdissa, suuri osa ohjelmistoista on vielä haavoittuvia.
