Browser-Entführung

Offenbar sind Firefox und Googles Browser Chrome nicht gegen eine bestimmte Form von Clickjacking immun, wie Aditya K Sood von SecNiche Security auf einer Webseite feststellt. Klickt der Anwender auf einen bestimmten Link, der ihn zum Beispiel zu Yahoo.com führen soll, landet er dank einer eingebetteten JavaScript-Funktion auf einer ganz anderen Seite.

Der User selbst erkennt den Betrug oft erst, wenn es bereits zu spät ist. Bewegt er die Maus über den Link, erscheint in der Fußleiste das vorgetäuschte Ziel, also Yahoo.com. Die falsche Webseite kann, je nach Intention des Klick-Piraten, bösartigen Code ausführen, SPAM anbieten oder dem User vortäuschen, es handele sich um die echte Yahoo.com-Webseite und so Passwörter ausspähen.

Wer ausprobieren möchte, ob der Trick auch beim eigenen Browser klappt, kann das hier tun. Der Quelltext der Webseite eignet sich zum Studium des Angriffs, auch ein Paper über Clickjacking-Techniken steht dort bereit, allerdings in englischer Sprache. Schutz gegen die Lücke bietet momentan das Abschalten von JavaScript.