Pada Permintaan Adobe, Hacker Nix 'clickjacking' Talk

Selepas Adobe Systems meminta mereka untuk diam tentang penemuan mereka, dua penyelidik keselamatan telah mengeluarkan ceramah teknikal di mana mereka akan menunjukkan bagaimana mereka dapat merebut kawalan pelayar mangsa menggunakan serangan dalam talian yang dipanggil 'clickjacking. '

Robert Hansen dan Jeremiah Grossman telah ditetapkan untuk menyampaikan ucapan mereka minggu depan di persidangan OWASP (Open Web Application Security Project) di New York. Tetapi bukti kod konsep mereka telah dibangunkan untuk menunjukkan bagaimana serangan klikjacking mereka telah membentangkan bug dalam salah satu produk Adobe. Selepas seminggu perbincangan dengan Adobe, para penyelidik memutuskan Jumaat lepas untuk menarik ceramah tersebut.

Walaupun Hansen dan Grossman percaya bahawa kecacatan clickjacking akhirnya terletak pada cara penyemak imbas Internet direka, Adobe meyakinkan mereka agar terus bertentangan sehingga mereka dapat melepaskan patch.

Dalam serangan klikjacking, penyerang menipu mangsa untuk mengklik pada pautan Web berbahaya tanpa menyadarinya. Serangan jenis ini telah diketahui selama bertahun-tahun, tetapi tidak dianggap sangat berbahaya. Para pakar keselamatan menganggap ia boleh digunakan untuk melakukan penipuan klik pengiklanan atau untuk mengagumkan penilaian Digg untuk laman Web. Sebagai contoh, dalam menulis kod bukti konsep mereka, Hansen dan Grossman menyadari bahawa clickjacking sebenarnya lebih serius daripada yang mereka fikir pertama kali.

"Apabila kita akhirnya membinanya dan mendapat bukti konsep itu agak buruk," kata Grossman. "Jika saya mengawal apa yang anda klik, berapa banyak yang boleh saya lakukan? Ia ternyata anda boleh melakukan beberapa perkara yang benar-benar benar."

Baik Grossman maupun Hansen, CEO perundingan SecTheory, mahu masuk ke dalam spesifik serangan mereka. Walau bagaimanapun, Tom Brennan, penganjur persidangan OWASP mengatakan bahawa dia telah melihat kod serangan yang ditunjukkan dan ia membolehkan penyerang mengambil kawalan penuh terhadap desktop mangsa.

Para penyelidik mengatakan bahawa mereka tidak ditekan oleh Adobe untuk menggugurkan ucapan mereka.

Akhirnya hari ini, Adobe mencatat nota, mengucapkan terima kasih kepada para penyelidik untuk menjaga kegagalan peribadi dan menunjukkan bahawa

Walaupun mendedahkan bug dapat membantu penyerang, Brennan OWASP mengatakan bahwa para penyelidik masih harus meneruskan dan memberikan ceramah mereka untuk memberi para profesional IT peluang untuk memahami sifat sebenar ancaman. "Terdapat masalah sifar dalam pelayar yang menjejaskan berjuta-juta orang hari ini," katanya. "Apabila seseorang membincangkannya, ia meletakkan semua orang di padang permainan yang sama."

Hansen dan Grossman mengatakan bahawa mereka juga mengharapkan Microsoft memasang patch yang berkaitan di Internet Explorer, dan banyak pelayar lain juga dipengaruhi oleh masalah klikjacking. "Kami percaya ia adalah lebih kurang masalah keselamatan penyemak imbas," kata Grossman.