Noticia Nuevas Técnicas de Clickjacking & TapJacking y su explotación en dispositivos móviles

Los investigadores de la Universidad de Berkeley Devdatta Akhawe, Warren He, Zhiwei Li, Reza Moazzezi y Dawn Song han publicado un interesante paper sobre distintos ataques en el que el foco principal es el Clickjacking, y como éste afecta de manera importante a las nuevas tecnologías, llegando a los dispositivos móviles como víctimas interesantes hoy en día. Además del Clickjacking, existe el Tapjacking el cuales un concepto bastante similar y que permite saltarse, por ejemplo, permisos en Android. La técnica de Tapjacking consiste en situar una aplicación transparente delante de la que el usuario cree que está visualizando.

De este modo cuando se pulsa en algún botón de la aplicación que se encuentra detrás, en realidad se pulsa sobre la app que no se visualiza. Los ataques que proponen en el paper son los siguientes:


Figura 1: Artículo presentado sobre nuevas técnicas de clickjacking


Destabilizing Pointer

La idea clave de este ataque es desestabilizar la percepción del usuario en el uso del puntero, mostrando una imagen de un movimiento del puntero de ratón en una dirección diferente del cursor real. El ataque no es un ataque de punteros falsos. El ataque que se propone crea un puntero que se mueve en una dirección diferente para una duración transitoria. Este hecho hace que el usuario se confunda.

Peripheral Vision

El segundo ataque consiste en fijar la atención del usuario en un área de la pantalla, mientras interactúa con otra. Este ataque es una demostración sencilla de la posibilidad de que un atacante sufra Clickjacking.

Motor Adaptation


Este tipo de ataque permite aprovecharse de las limitaciones del sistema motor. Este tipo de ataque se refiere a la optimización de los sensores y motores para estímulos y acciones repetidas. La adaptación del motor permite al usuario realizar una secuencia de acciones repetitivas en el momento justo, lo cual nos hace vulnerables a ataques de Clickjacking.

Fast Motion


La percepción humana incluye inherentemente un modelo de inercia. En este ataque la idea clave es que se indica al usuario que realice clic en un objeto en movimiento. Debido a la ilusión de flash lag, el jugador o usuario rebasa el objeto en movimiento, y en su lugar, hace clic en un botón.


Figura 2: Ejemplo de Fast Motion

Controlling the Timing


Otro posible ataque es crear una señal visual para controlar el calendario de un usuario con un clic. Este ataque combinado con una apropiada posición del ratón, permite a un atacante engañar a un usuario para que haga clic en el objetivo.

Resultados obtenidos con estos ataques

En el artículo se hace hincapié en los resultados obtenidos en las pruebas con los diferentes ataques. Las pruebas se hicieron con usuarios, para conseguir que se hiciera clic en un botón. 130 usuarios fueron reclutados para cada ataque. Se pagó entre 0.20 y 0.30 dólares por jugar a "Juega a nuestro juego HTML5 durante 2 min". Los participantes solo podían utilizar Google Chrome y Mozilla Firefox.


Figura 3: Tabla de resultados obtenidos

Algunos ataques dieron resultados muy positivos e interesantes, por lo que se deben tener en cuenta estas técnicas, ya que hoy en día pueden ser utilizadas en dispositivos móviles.

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths



Continúar leyendo...