Clickjacking

El clickjacking promete ser el nuevo tema de moda en la red, lo que me recuerda al reciente caso de Kaminsky.

Resumiendo y mucho, porque no hay mucho que decir al respecto, dos investigadores, Jeremiah Grossman y Robert Hansen, han descubierto un vector de ataque que, aparentemente, afecta a multitud de navegadores y otros productos Web, y mediante el cual sería posible que los usuarios efectuasen, entre otras lindezas, clicks o pulsaciones en enlaces sin tan siquiera saberlo. Según lo que se puede leer, es un problema que ni depende de los productos de navegación ni de la presencia de JavaScript, lo que lo convierte en un problema, de llegar a confirmarse, de muy alto impacto, y que habilitaría mecanismos para la ejecución masiva de, entre otros, fraudes basados en pulsaciones no voluntarias sobre enlaces comerciales (click fraud)

Esta vulnerabilidad parece afectar especialmente a los productos de Adobe, hasta tal punto que han solicitado que la charla en OWASP AppSec, donde se iban a relatar los hechos, se aplace hasta que exista un análisis completo de la situación. De momento, la postura oficial de los investigadores es la de guardar silencio, actitud que me parece prudente si efectivamente se trata de un problema multiproducto y con difícil solución.

Además de mucha especulación, sólo tenemos, como información destacable, la opinión de Zalewski y la del creador de NoScript (que parece no ayudará en este caso). Hay más opiniones y noticias a lo largo y ancho de la Web.

En Kriptópolis están haciendo un seguimiento del tema, y es de prever que vayan actualizando la información según se disponga de ella. Habrá que estar al tanto.

Fuente: Sergio Hernando