Neuer ClickJacking-Angriff erlaubt das Ausspionieren von Web-Inhalten Ihres Browsers

20. April 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Auf der Sicherheitskonferenz Black Hat Europe in Spanien wurde ein neuer ClickJacking-Angriff demonstriert.

Mit dieser neuen ClickJacking-Attacke können Angreifer nun auch Inhalte von geöffneten Web-Seiten kopieren.

Bei ClickJacking-Angriffen wird ein unsichtbares Fenster in Form eines iFrames unter dem Mauszeiger des Besuchers der Web-Seite eingefügt. Die Klicks des Besuchers wirken sich dann auf die unsichtbare Seite aus anstatt auf die Inhalte, auf die der Besucher glaubt zu klicken.

Bereits mit früheren ClickJacking-Angriffen haben Angreifer beispielsweise das Fenster mit der Konfiguration für den Flash Player unsichtbar unter dem Mauszeiger von Besuchern einer Web-Seite versteckt. Ohne es zu wissen, gaben die Besucher dann mit wenigen Klicks der Seite den Zugriff auf die eigene WebCam und das Mikrofon frei und konnten damit ausspioniert werden.

Die Weiterentwicklung dieses Angriffs nutzt nun die Drag&Drop-Funktion der Browser, mit der Inhalte zwischen den Fenstern ausgetauscht werden können. Damit kopieren die Angreifer z.B. Inhalte von geöffneten Seiten in unsichtbare iFrames und erbeuten so Informationen über aktuell geöffnete Internetseiten. Wenn Angreifer bei Benutzern, die auf einer Web-Seite eingeloggt sind, mit diesem Angriff die Session-ID auslesen, können die Angreifer unter Umständen auch die Sitzung des Besuchers auf der Web-Seite übernehmen.

Aktuelle Browser (Internet Explorer 8, Safari 4 und Chrome 2) schützen Sie bereits vor solchen Angriffen, wenn die aufgerufene Seite die Darstellung von unsichtbaren iFrames per Header-Eintrag verbietet. Das nutzen allerdings leider bisher nur große Internetportale wie Facebook und Google.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"