23. Februar 2009 - Clickjacking

Datenraub per Mausklick

Empfehlungen, keine verdächtigen Verknüpfungen im Internet anzuklicken, haben ausgedient. Durch Angriffsmethoden wie Clickjacking könnten Sie ungewollt Ihre Sicherheitseinstellungen per Mausklick verändern oder Schadprogramme herunterladen, ohne überhaupt sehen zu können, wo sich Ihr Mauszeiger in Wirklichkeit befindet. Wer gefahrloser in seinem Browser klicken möchte, muss bislang jedoch auf viele moderne Webfunktionen verzichten.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Eines der wesentlichen Ziele im Online-Marketing besteht darin, den Besucher einer Website zu zusätzlichen Klicks auf Werbung innerhalb des Internetangebots zu überreden.

Malware, versteckt in Werbung

Manche Werbefenster im Browser schieben sich vor die eigentliche Webseite und lassen sich nicht mehr ohne weiteres schließen.

Erst nach einem zusätzlichen Klick, der auf die beworbene Internetpräsenz führt, macht die Werbung den Weg frei zum gewünschten Inhalt.

Das ist nicht nur lästig, sondern kann auch gefährlich werden, wenn die Werbung mit Malware verseucht ist.

Unsichtbar ist nicht gleich ungefährlich

Stellen Sie sich vor, dass das unerfreuliche Werbefenster vor dem Text, den Sie eigentlich lesen wollen, unsichtbar wäre.

Das klingt verlockend, doch leider bergen auch unsichtbare Zusatzfenster im Browser Gefahren für die Datensicherheit.

Klick auf sichtbaren Inhalt geht in Wahrheit auf unsichtbare Malware

Clickjacking nennt sich eine spezielle Angriffsform im Internet, die über die sichtbare Webseite eine zusätzliche, nicht sichtbare Ebene legt.

Der scheinbare Klick auf den gewünschten Inhalt führt dann in Wirklichkeit zu einem Klick auf einen unsichtbaren Programmdialog oder Hyperlink.

Wie von Sicherheitsforschern gezeigt wurde, könnte dies ungeahnte Konsequenzen haben.

Lücke im Flash Player: Lauschangriff zugestimmt

Eine inzwischen behobene Sicherheitslücke im Flash Player hätte durch Clickjacking zum Beispiel dazu ausgenutzt werden können, dass ein Webnutzer ungewollt den externen Zugriff auf seine Webcam und sein Mikrofon gestattet.

Dazu hätten Angreifer nur den entsprechenden Dialog des Flash Players, der die Internetverbindung zu Webcam und Mikrofon gestatten kann, passend und für den Nutzer unsichtbar unter den Mauszeiger schieben müssen.

Der ahnungslose Computernutzer hätte dadurch einer Art Lauschangriff selbst zugestimmt.

Risiko unsichtbare Schaltflächen

Dieses Beispiel zeigt, welche Risiken im Internet bestehen, ohne dass man ihnen durch eine reine Sensibilisierung, nicht unbedacht auf verdächtige Links zu klicken, begegnen kann.

Ein Klick auf unsichtbare Schaltflächen könnte nahezu beliebige Aktionen im Browser hervorrufen, darunter auch die Veränderung der Sicherheitseinstellungen, der aktive Download von Schadsoftware oder der Wechsel von einer echten Webseite auf eine Phishing-Website.

Vertrauliche Daten, die an eine legitime Webseite gehen sollten, landen dann unerkannt bei dem Angreifer.

Browser und Plugins müssen gesichert werden

Während der Flash Player laut Adobe bereits durch Upgrade auf Version 10 gegen Clickjacking gefeit ist, zeigen sich verschiedene Browsertypen für solche Angriffe weiterhin anfällig.

Generell sind solche Attacken auch über Plugins und Browserergänzungen, die nichts mit Flash zu tun haben, denkbar, so dass eine wesentliche Gegenmaßnahme darin besteht, regelmäßig den eingesetzten Webbrowser zu aktualisieren.

Automatische Überprüfung auf Browserupdates

Dazu empfiehlt sich die automatische Prüfung, ob ein Browserupdate verfügbar ist, wie in den Optionen der verschiedenen Browser angeboten.

Die Aktualität der Plugins und Browserergänzungen ist jedoch nicht so einfach zu gewährleisten, da hierfür in der Regel der Benutzer die Aktualisierung selbst anstoßen muss.

Sicherheit oder Komfort?

Wer sich den Datenrisiken durch Clickjacking nicht aussetzen will, muss in vielen Fällen auf Browserergänzungen und JavaScript-Funktionen, die bei den Angriffen missbraucht werden, verzichten.

Doch ohne Browser-Plugins und ohne JavaScript können zahlreiche moderne Webseiten nicht mehr vollständig genutzt werden.

Wenn sicherheitsbewusste Internetnutzer also nicht von einer Vielzahl von Internetangeboten ausgeschlossen sein sollen, müssen die Anbieter der verschiedenen Browser und Plugins schnell auf neuartige Bedrohungen reagieren.

Clickjacking ist dafür nur ein Beispiel unter vielen.

ClearClick soll Firefox-Nutzern helfen

Das Firefox-Plugin NoScript bietet inzwischen eine Zusatzfunktion namens ClearClick, die auch ohne Deaktivierung von JavaScript oder Verzicht auf andere Addons möglichen versteckten Fenstern, Schaltflächen und Links die Heimtücke nimmt.

Der Mausklick erreicht dann wieder sein eigentliches, ungefährliches Ziel auf der legitimen Webseite.

Browser sorgfältig auswählen

Für den Anwender bleibt letztendlich nur die Möglichkeit, den Browser und die Erweiterungen zu verwenden, die Sicherheitsupdates umgehend bereitstellen.

Entsprechende Marktverschiebungen im Internet dürften den einen oder anderen Browseranbieter dann zu schnelleren Reaktionen auf neue Bedrohungen veranlassen, als dies gegenwärtig üblich ist.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln