Червь, заставивший многих людей непреднамеренно рассылать сообщения на сайте
микроблогов Twitter, продемонстрировал всем способность уязвимости, известной
как клик-джекинг,
обманным путем заставлять пользователей устанавливать на свои компьютеры
вредоносное ПО и переходить на опасные веб-ресурсы в то время, когда они даже не
подозревают об этом.
Эпидемия стала возможной благодаря рассылаемой на сайте Twitter рекламе,
которая приводила пользователей к странице с кнопкой, на которой было написано
"Не кликай". Те легковерные пользователи, которые на нее нажали, автоматически
отправляли от своего имени сообщение на блог, рекламирующее ту же ссылку, по
которой перешли они сами. Это работало даже некоторое время после того, как
представители Twitter заявили об устранении проблемы.
Атака задействует уязвимость, которая позволяет веб-мастерам обманывать
пользователей, заставляя их переходить по нужному им адресу, несмотря на то, что
HTML-код может указывать совсем другое направление. Достигается это путем
установки поверх кнопки невидимого iFrame.
Впервые об этой проблеме в сентябре прошлого года
заявили Джеремия Гроссман
из WhiteHat Security и Роберт Хансен из secTheory.com. Они утверждают, что
клик-джекинг может использоваться, скажем, для перехода пользователей на сайт
онлайн-переводов вместо сайта Google, или для размещения баннера, являющегося
частью какой-либо мошеннической схемы.
Их исследование заставило компанию Adobe пропатчить Adobe Flash, однако
клик-джекинг – это методика, угрожающая практически каждой платформе, браузеру и
веб-сайту. Недавно Microsoft объявил о внедрении инструмента противодействия
клик-джекингу в бета-версию своего браузера Internet Explorer 8, однако многие
специалисты сходятся во мнении, что предложенное компанией решение
малоэффективно, поскольку
требует обновления миллионов сайтов проприетарным кодом.
