Ein vermeintlich harmloser Klick im Web-Browser genügt, damit Kriminelle auf den PC* zugreifen können. Mit dem sogenannten Clickjacking, frei übersetzt mit dem Klickklau oder der Klickentführung, können Fremde einen User beliebige Dialoge unterschieben, welche dann durch den Ahnugslosen bestätigt (geklickt) werden. Und das ohne das der User am Browser jemals das Fenster gesehen hat, bzw. nur für eine sehr kurze Zeitspanne (< 1 Sekunde).
Wie man damit ganz einfach die Webcam eines jeden Benutzers anzapfen kann zeigt die folgende Demo (mit Flash), die jedoch nur noch mit der „alten“ Flashversion läuft, Adobe hat das Problem in einer neuen Version bereits behoben. Für alle ohne Webcam oder neuster Flashversion, hier ein Video* dazu:
Durch das gezielte lenken der Klicks bekommt der User nicht mit, das er in Wirklichkeit die ganze Zeit in Flasheinstellungen herumklickt und seine Webcam freigibt. Man sieht rein gar nichts von diesen Dialogboxen, trotzdem funktioniert es einwandfrei, wie die Demo zeigt.
Zitat von heise.de zu diesem Thema:
Um den Anwender zum Klick auf bestimmte Einstellungen zu bewegen, gaukelt er ein JavaScript-Spiel vor, bei dem ein Objekt angeklickt werden muss. Zwischenzeitlich schiebt er aber den in einem IFrame geöffneten Flash Player Setting Manager über die Veränderung des z-index in den Vordergrund beziehungsweise das Hauptfenster in den Hintergrund. Der IFrame bleibt jedoch unsichtbar, sodass der Anwender nicht merkt, dass er eigentlich in den Einstellungen des Flash Player herumgeklickt hat.
Dies geht jedoch auch mit anderen Dialogboxen, zum Beispiel für Silverlight oder Java. Ein für die OWASP-Konferenz geplanter Vortrag wurde kurzerhand abgesagt, da die entdeckten Schwachstellen derart schlimm seien, dass sie vor der Veröffentlichung einer Absprache mit den betroffenen Herstellern bedürfen.
Schutz gegen Clickjacking verspricht das Firefox-Plug-in NoScript in der Version 1.8.2.1. Die neue ClearClick-Funktion soll verborgene, durchsichtige oder anderweitig verschleierte Dialoge oder Frames beim Anklicken sichtbar machen. Der Anwender soll dann entscheiden können, ob er die Optionen im dargestellten Dialog wirklich aktivieren will oder nicht.