Los investigadores de la Universidad de Berkeley Devdatta Akhawe, Warren He, Zhiwei Li, Reza Moazzezi y Dawn Song han publicado un interesante paper sobre distintos ataques en el que el foco principal es el Clickjacking, y como éste afecta de manera importante a las nuevas tecnologías, llegando a los dispositivos móviles como víctimas interesantes hoy en día. Además del Clickjacking, existe el Tapjacking el cuales un concepto bastante similar y que permite saltarse, por ejemplo, permisos en Android. La técnica de Tapjacking consiste en situar una aplicación transparente delante de la que el usuario cree que está visualizando.
De este modo cuando se pulsa en algún botón de la aplicación que se encuentra detrás, en realidad se pulsa sobre la app que no se visualiza. Los ataques que proponen en el paper son los siguientes:
De este modo cuando se pulsa en algún botón de la aplicación que se encuentra detrás, en realidad se pulsa sobre la app que no se visualiza. Los ataques que proponen en el paper son los siguientes:
Figura 1: Artículo presentado sobre nuevas técnicas de clickjacking |
Destabilizing Pointer
La idea clave de este ataque es desestabilizar la percepción del usuario en el uso del puntero, mostrando una imagen de un movimiento del puntero de ratón en una dirección diferente del cursor real. El ataque no es un ataque de punteros falsos. El ataque que se propone crea un puntero que se mueve en una dirección diferente para una duración transitoria. Este hecho hace que el usuario se confunda.
Peripheral Vision
El segundo ataque consiste en fijar la atención del usuario en un área de la pantalla, mientras interactúa con otra. Este ataque es una demostración sencilla de la posibilidad de que un atacante sufra Clickjacking.
Motor Adaptation
Este tipo de ataque permite aprovecharse de las limitaciones del sistema motor. Este tipo de ataque se refiere a la optimización de los sensores y motores para estímulos y acciones repetidas. La adaptación del motor permite al usuario realizar una secuencia de acciones repetitivas en el momento justo, lo cual nos hace vulnerables a ataques de Clickjacking.
Fast Motion
La percepción humana incluye inherentemente un modelo de inercia. En este ataque la idea clave es que se indica al usuario que realice clic en un objeto en movimiento. Debido a la ilusión de flash lag, el jugador o usuario rebasa el objeto en movimiento, y en su lugar, hace clic en un botón.
Controlling the Timing
Otro posible ataque es crear una señal visual para controlar el calendario de un usuario con un clic. Este ataque combinado con una apropiada posición del ratón, permite a un atacante engañar a un usuario para que haga clic en el objetivo.
Resultados obtenidos con estos ataques
En el artículo se hace hincapié en los resultados obtenidos en las pruebas con los diferentes ataques. Las pruebas se hicieron con usuarios, para conseguir que se hiciera clic en un botón. 130 usuarios fueron reclutados para cada ataque. Se pagó entre 0.20 y 0.30 dólares por jugar a "Juega a nuestro juego HTML5 durante 2 min". Los participantes solo podían utilizar Google Chrome y Mozilla Firefox.
Figura 3: Tabla de resultados obtenidos |
Algunos ataques dieron resultados muy positivos e interesantes, por lo que se deben tener en cuenta estas técnicas, ya que hoy en día pueden ser utilizadas en dispositivos móviles.
Una pregunta desde mi ignorancia en el tema. ¿La imagen del clickjacking no debería ser al revés? Es decir, el usuario cree ver una web original y se coloca una web maliciosa transparente para que no vea lo que realmente hace. Es que tal como aparece, no le veo sentido.
ResponderEliminarbasicamente las tecnicas parecen ser lo mismo, solo cambia la manera de llamar al atención, la más eficiente es el bloque que sigue al cursor. Esta técnica es utilizada para incentivar el click en los anuncios de adsense. Es extraño que recien se haya detectado si su implementación es sencilla y funcionaba incluso en navegadores antiguos. Se imaginan los millones de dolares en ganancias con este siempre truco?
ResponderEliminar