Clickjacking (noto anche come interfaccia utente or Riparazione dell'interfaccia utente e IFRAME copertura) è un exploit in cui la codifica dannosa è nascosta sotto pulsanti apparentemente legittimi o altri contenuti cliccabili su un sito web.
Ecco un esempio, tra i tanti possibili scenari: un visitatore di un sito pensa di fare clic su un pulsante per chiudere una finestra; invece, l'azione di fare clic sul pulsante "X" richiede al computer di scaricare un cavallo di Troia, trasferire denaro da un conto bancario o accendere il microfono o la webcam incorporati nel computer. Il sito Web host potrebbe essere un sito legittimo che è stato violato o una versione contraffatta di un sito ben noto. L'autore dell'attacco induce gli utenti a visitare il sito tramite collegamenti in linea o nei messaggi di posta elettronica.
I ricercatori Jeremiah Grossman e Robert Hansen hanno scoperto la vulnerabilità. Ecco come descrivono il problema:
Pensa a qualsiasi pulsante su qualsiasi sito Web, interno o esterno, che puoi far apparire tra le pareti del browser, bonifici bancari, pulsanti Digg, banner pubblicitari CPC, coda Netflix, ecc. L'elenco è praticamente infinito e questi sono relativamente esempi innocui. Quindi, considera che un attacco può far passare invisibilmente questi pulsanti sotto il mouse degli utenti, in modo che quando fanno clic su qualcosa che vedono visivamente, stanno effettivamente facendo clic su qualcosa che l'attaccante vuole che facciano. […] Supponi di avere un router wireless domestico che hai autenticato prima di accedere a un sito web. [La codifica dannosa] potrebbe inserire un tag sotto il mouse che inquadra in un unico pulsante un ordine al router per, ad esempio, eliminare tutte le regole del firewall.
Si dice che il problema derivi da un difetto integrale nel software del browser e influisca su Internet Explorer (IE), Firefox, Safari e Opera. In effetti, solo i browser non GUI, come Lynx, sono protetti, semplicemente perché non c'è nulla nell'interfaccia cliccabile.
Secondo Hansen, esistono più varianti di clickjacking: "Alcuni richiedono l'accesso interdominio, altri no. Alcuni sovrappongono intere pagine su una pagina, altri utilizzano iframe per farti fare clic su un punto. Alcuni richiedono JavaScript, altri non farlo. "
Facebook è un luogo comune per il clickjacking, dove spesso assume la forma di likejacking. Un esempio riguarda un aggiornamento di stato: "OMG questo ragazzo è andato un po 'troppo lontano con la sua vendetta sulla sua ex fidanzata". Agli utenti che fanno clic sul collegamento viene presentato un falso CAPTCHA, che in realtà si collega ai pulsanti "Mi piace" e "Condividi" di Facebook. Quando l'utente risponde, l'aggiornamento di stato fasullo pubblica sulla sua pagina Facebook, insieme a un avviso che gli è piaciuto il video. Su Facebook, la maggior parte degli exploit di clickjacking viene condotta per raccogliere informazioni sugli utenti e diffondere spam, sebbene siano stati segnalati attacchi di phishing.
Nel suo blog Security Corner, Ken Harthun consiglia: "Per ora, tutti dovrebbero disabilitare immediatamente script e iframe in qualunque browser stanno utilizzando. Gli utenti di Firefox dovrebbero installare NoScript e impostare l'opzione" Plugins | Forbid iframe "... Raccomando anche che tutti esaminino l'articolo di US-CERT "Protezione del browser Web" per assicurare la massima protezione contro questo e altri rischi per la sicurezza ".