Google, Yahoo, Microsoft und Amazon anfällig für Clickjacking

[Christoph]

Zitat:

Der Sicherheitsforscher Luca de Fulgentis demonstriert in seinem Blog, dass populäre Webdienste unzureichend vor Clickjacking-Angriffen geschützt sind. Dabei wäre dies durch den konsequenten Einsatz des HTTP-Headers X-Frame-Options denkbar einfach. Der Forscher entwickelte Proof-of-Concepts, die durch Clickjacking in Kombination mit Drag&Drop Nutzerdaten von den betroffenen Seiten extrahieren. Ein vergleichbarer Angriff wurde bereits 2010 demonstriert.

Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame über Buttons. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente der Seite im unsichtbaren iFrame. In Kombination mit der Drag&Drop-API moderner Browser kann ein Nutzer auf diesem Weg dazu verführt werden Objekte oder Texte aus dem unsichtbaren iFrame in einen Bereich der manipulierten Seite zu ziehen, den der Angreifer auslesen kann.

Sicherheitsforscher Fulgentis hat genau diese Methode auf die Webdienste von Google, Microsoft und Yahoo angewandt. Wie er feststellte, werden noch nicht alle Unterseiten der drei Anbieter mit dem HTTP-Header X-Frame-Options ausgeliefert. Dieser verhindert, dass Webseiten auf anderen Sites eingebettet werden können. Bei Google gelang es dem Forscher beispielsweise via Drag&Drop Vor- und Nachname, Nutzerfoto und E-Mail-Adresse von Nutzerprofilen herüber zu ziehen.

Bei einem Angriff auf die Amazon-Dienste über Googles Browser Chrome (Version: 23.0.1271.97) gelang Fulgentis die Angriffsmethode ebenfalls – er musste nur etwas tiefer in die Trickkiste greifen. Während er für Yahoo, Google und Microsoft einen "cross-domain"-Angriff fahren konnte, musste er für Amazon einen "same-origin"-Angriff starten, denn der Chrome Browser verhindert eigentlich das Herüberziehen von Daten von einer Webseite auf die Seite einer anderen Domain.

Für den Angriff musste Fulgentis Quell- und Zielseiten ausmachen, die von der gleichen Domain gehostet werden. Den Clickjacking iFrame setzte er über den "Abschicken"-Button auf den Amazon-Kommentarseiten, über die Kundenrezensionen verfasst werden. Ist ein Nutzer bei Amazon eingeloggt und surft nebenbei auf einer anderen, speziell präparierten Seite, sorgt das Clickjacking-Script dafür, dass er unwissentlich seine persönlichen Kundendaten in das Kommentarfeld einer Produktbewertung zieht und abschickt. Angreifer können die Daten dann in der öffentlich zugänglichen Kommentarliste abgreifen. (kbe)

Quelle mit Videos: http://www.heise.de/newsticker/meldu...g-1778036.html