Su richiesta di Adobe, Hackers Nix "clickjacking" Talk

Dopo che Adobe Systems ha chiesto loro di tacere sulle loro scoperte, due ricercatori della sicurezza hanno tirato fuori un discorso tecnico in cui avrebbero dimostrato come potevano prendere il controllo del browser di una vittima usando un attacco online chiamato "clickjacking".

Robert Hansen e Jeremiah Grossman erano stati incaricati di tenere i loro discorsi la settimana prossima alla conferenza OWASP (Open Web Application Security Project) a New York. Ma la dimostrazione del codice concettuale che avevano sviluppato per mostrare come il loro attacco clickjacking funzionava rivelava un bug in uno dei prodotti Adobe. Dopo una settimana di discussioni con Adobe, i ricercatori hanno deciso venerdì scorso di tirare il discorso.

Sebbene Hansen e Grossman credano che il difetto del clickjacking risieda nel modo in cui i browser Internet sono progettati, Adobe li ha convinti a non perdere la discussione fino a quando non potrebbero rilasciare una patch. "Adobe pensa di poter fare qualcosa per rendere più difficile l'hacking", ha detto in un'intervista Grossman, CTO di White Hat Security.

In un attacco di clickjacking, l'hacker inganna la vittima facendo clic su collegamenti Web malevoli senza rendersene conto. Questo tipo di attacco è noto da anni, ma non è stato considerato particolarmente pericoloso. Gli esperti di sicurezza avevano pensato che potesse essere usato per commettere frodi pubblicitarie o per gonfiare le valutazioni Digg per una pagina Web, per esempio.

Tuttavia, scrivendo il loro codice di proof-of-concept, Hansen e Grossman realizzarono che il clickjacking era in realtà più

"Quando finalmente lo abbiamo costruito e abbiamo ottenuto la dimostrazione del concetto, è stato piuttosto brutto", ha detto Grossman. "Se controllo ciò su cui fai clic, quanto male posso fare? Si scopre che puoi fare una serie di cose veramente, veramente brutte."

Né Grossman né Hansen, CEO della società di consulenza SecTheory, volevano entrare in dettagli del loro attacco. Tuttavia, Tom Brennan, l'organizzatore della conferenza OWASP ha dichiarato di aver visto il codice di attacco dimostrato e che consente all'aggressore di assumere il controllo completo del desktop della vittima.

I ricercatori dicono che non sono stati sottoposti a pressioni da Adobe per abbandonare la discussione. "Questo non è un male 'l'uomo sta cercando di tenerci giù dagli hacker'", scrive Hansen lunedì sul suo blog.

Lunedì scorso, Adobe ha pubblicato una nota, ringraziando i ricercatori per aver tenuto il bug privato e indicando che il La società sta lavorando per risolvere il problema.

Anche se rivelare il bug potrebbe aiutare gli aggressori, la Brennan di OWASP ha detto che i ricercatori dovrebbero continuare a parlare per dare ai professionisti IT l'opportunità di comprendere la vera natura della minaccia. "C'è un problema di giorno zero nei browser che sta colpendo milioni di persone oggi", ha detto. "Quando una persona lo discute, mette tutti sullo stesso campo di gioco".

Hansen e Grossman dicono che si aspettano anche che Microsoft patch un bug correlato in Internet Explorer e che molti altri browser siano anche interessati dal problema del clickjacking. "Riteniamo che sia più o meno un problema di sicurezza del browser", ha affermato Grossman.