Clickjacking：綁架你的網頁點閱

ZDNet新聞專區：Elinor Mills 2009/05/25 12:48:02 想從報攤上拿一份報紙，拿到的卻是一顆石頭，或者打開雜貨店的大門，卻發現自己站在一艘船上。這種科幻電影的情節，正可用來說明目前最新、最嚴重的網路威脅。

Whitehat Security共同創辦人兼技術長Jeremiah Grossman表示：「大多數被蠕蟲和攻擊利用的軟體漏洞都能修補，但點閱綁架（clickjacking）是網路運作方式中既有的設計瑕疵。惡徒在某個使用者想要點閱的東西上，疊入一個隱形按鍵…它可以是任何網站之任何頁面上的任何按鍵。」
 
這種方法被用在今年2月對Twitter發出的若干惡作劇攻擊。其中一個案例，是使用者點入出現在tweet旁邊某個寫著「別點」的連結，然後在另一個獨立網頁上點下同樣寫著「別點」的按鍵。第二個連結會將原本的tweet傳送到該使用者的每個追蹤者，迅速地自我傳播。

當時，Grossman還把它稱作「無害的實驗」，但有可能被惡意人士利用。但在21日的示範中，Grossman證明了有心人能利用Flash發動點閱綁架攻擊，在使用者無知覺的情況下，開啟電腦的鏡頭，進行偷窺或監視。
 
顧名思義，點閱綁架就是在你不知情之下，劫持你的點閱。搭配能針對特定網頁、讓瀏覽器視窗分成多個部份的iFrame，當使用者的滑鼠點選到惡意iFrame隱藏的部分，攻擊隨之發動。

 攻擊者能把惡意iFrame藏在任何網頁的任何連結上（如紐約時報的新聞標題，或Digg的"digg this"按鍵），受害者以為自己點的是網頁上的連結，其實是隱藏的iFrame。Grossman示範中的iFrame，包含一個Flash自動跳出視窗，要求使用者同意打開網路鏡頭。受害者點選之後，鏡頭便會打開，並偷偷錄下電腦前的一舉一動。

點閱綁架最駭人部分之一，就是它被濫用的可能。攻擊者能偷窺或偷聽你的行動，將你導向某個網頁下載惡意內容，甚至誘使你在網路商店花錢買下一堆商品。更嚴重的是，終端使用者能自我保護的方法非常有限。
 
Grossman表示，以網路鏡頭的攻擊為例，使用者能作的就是把鏡頭遮住，和關閉麥克風。Flash Player 10也提供若干防範不明要求對話窗的保護。某些專門為IE8設計的網站，也能防範這類攻擊，但只有使用IE8進入這些網站才有用。

Grossman提醒，使用Windows和IE的民眾應關閉JavaScript，才能防範點閱綁架。Firefox較安全，該瀏覽器的NoScript附加元件不僅能選擇性地阻擋指令，還有一項特別針對點閱綁架的ClearClick功能。使用完Facebook和Twitter這類網站後，也應該執行登出。Grossman說：「沒有登入就不會被迫在這些網站上執行任何動作。」（陳智文/譯）