Indietro

ⓘ Clickjacking




                                     

ⓘ Clickjacking

Il clickjacking è una tecnica informatica fraudolenta. Durante una normale navigazione web, lutente clicca con il puntatore del mouse su di un oggetto, ma in realtà il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto, che può portare alle più svariate conseguenze: dal semplice invio di spam, al download di un file, fino allordinare prodotti da siti di e-commerce.

Oltre al rapimento del clic, possono essere intercettati i tasti premuti, ad esempio quando si inserisce la password dellemail o del conto bancario. Entrambe queste possibilità rapimento del clic o dei tasti premuti sulla tastiera vengono eseguite senza la cognizione dellutente.

                                     

1. Funzionamento

Esistono due tecniche per fare il clickjacking:

La prima è possibile a causa di una caratteristica, apparentemente innocua, di HTML, con cui le pagine web possono essere usate per compiere azioni non previste. Si basa su JavaScript, infatti nel momento del clic dellutente cè un gestore dellevento che fa eseguire una determinata azione, agli attaccanti basta passare come parametri quello che gli serve.

Esiste però anche unaltra tecnica, chiamata IFrame Inner Frame, che consiste nel creare una pagina trasparente ed appogiarla sopra alla pagina reale. In questo modo lutente crede di consultare una normale pagina con i suoi relativi bottoni, mentre in realtà sta navigando sulla pagina invisibile.

Un utente cade nella trappola del clickjacking solitamente cliccando su un link. Lutente non è in grado di riconoscere la differenza tra una pagina sana e una pagina ingannevole, perciò può cadere nella trappola senza cognizione delle proprie azioni. Infatti combinando insieme fogli di stile, pagine trasparenti e box di testo, gli utenti possono essere indotti a credere di inserire informazioni in una normale form compilativa ad esempio password, quando invece vengono intercettate dagli attaccanti.

                                     

2. Esempi

Le applicazioni di questa tecnica sono le più varie, possono essere "innocue" oppure anche più pericolose per lutente che ci casca; quelle per ora conosciute sono le seguenti:

  • Dirigere lutente su siti che forniscano pubblicità e quindi guadagno allattaccante
  • Portare lutente ad acquistare un prodotto su Amazon, per questo utilizzo però lattaccante ha un solo clic a disposizione, quindi confida che lutente sia già loggato e che abbia attivato l1-clic ordering la possibilità di ordinare con un clic
  • Far partire video su YouTube per guadagnare views
  • Far seguire allutente qualcuno su Twitter
  • Condividere link su Facebook
  • Attivare microfono e webcam dellutente tramite Adobe Flash questa situazione dovrebbe essere stata fixata
  • Scaricare e far partire dei malware sul computer dellutente
  • Mettere "mi piace" su Facebook a pagine o link questa tecnica è stata chiamata LikeJacking
                                     

3. Prevenzione

Ci sono delle soluzioni per cercare di limitare questa problematica, possono essere sia client che server side, ovvero rispettivamente da realizzare dallutente sul proprio browser che dal proprietario del sito.

                                     

3.1. Prevenzione Client-Side

Queste sono le soluzioni che può adottare lutente:

                                     

3.2. Prevenzione NoScript

La protezione contro il clickjacking può essere ottenuta, con un buon grado di sicurezza secondo quanto riportato ne "Browser Security Handbook" del 2008, installando su Mozilla Firefox NoScript. È un prodotto di ClearClick, pubblicato il 8 Ottobre 2008, che aiuta gli utenti prevenendo il clic su eventuali pagine trasparenti.

                                     

3.3. Prevenzione Gazzelle

Gazzelle è un prodotto di Microsoft Research per IE, che usa una tecnica simile al modello di sicurezza usato per i sistemi operativi.

Una pagina con unorigine diversa da quella corretta può figurare i propri contenuti dinamici soltanto se questi sono opachi.

                                     

3.4. Prevenzione Server-Side

Queste sono le soluzioni che può adottare il proprietario del sito:

                                     

3.5. Prevenzione Framekiller

I proprietari del sito possono inserire un framekiller JavaScript nelle pagine in cui non vogliono che vengano inserite pagine da fonti estranee. Essendo una protezione basata su JavaScript non è sempre affidabile. Ad esempio su Internet Explorer questa soluzione può essere aggirata inserendo la pagina-bersaglio allinterno di elemento del tipo:

                                     

3.6. Prevenzione X-Frame-Options

Questo è un frame introdotto nel 2009 in Internet Explorer. Agisce inserendo nellheader HTTP X-Frame-Options, che offre una parziale protezione contro il clickjacking, in seguito questa soluzione fu adottata anche dagli altri browser.

Lheader stabilisce le impostazioni per i frame, fissando quali sono le fonti dalle quali possono arrivare eventuali pagine esterne. In questo modo si evita che il sito venga attaccato con linserimento di frame dalle origini non consentite dallheader.

Questa soluzione, X-Frame-Options, nel 2013 è stata pubblicata ufficialmente come RFC 7034, senza però diventare uno standard.

                                     

3.7. Prevenzione Content Security Policy

Questa soluzione rende obsoleta X-Frame-Options ed è preferita dai browser. Sfrutta la direttiva frame-ancestor del Content Security Policy con la quale si può abilitare o disabilitare codice embedded da determinate pagine ostili.

                                     

4. Fonti

  • Alessandro Bottoni, Clickjacking, tutti i browser vulnerabili, Punto-Informatico.it, 29-09-2008 consultato in data 28-10-2017
  • EN Margaret Rouse, Clickjacking, whatis.techtarget.com, September 2015 consultato in data 30-10-2017
  • hackerstribe.com, Attacco ClickJacking: Cosa devi sapere, hackerstribe.com, 3-12-2011 consultato in data 30-10-2017
  • EN Caleb Queern, What Is Clickjacking and How Can You Prevent It?, lookingglasscyber.com consultato in data 30-10-2017
  • EN OWASP, Clickjacking, owasp.org, 25-02-2017 consultato in data 28-10-2017