Firefox-extensie blokkeert gevaarlijke webaanval

Een populaire gratis beveiligingstool voor de Firefox-browser is geüpgraded om een ​​van de gevaarlijkste en meest verontrustende beveiligingsproblemen van het internet van vandaag te blokkeren.

NoScript is een kleine applicatie die integreert in Firefox. Het blokkeert scripts in programmeertalen zoals JavaScript en Java van het uitvoeren op niet-vertrouwde webpagina's. De scripts kunnen worden gebruikt om een ​​aanval op een pc uit te voeren.

De nieuwste versie van NoScript, versie 1.8.2.1, stopt het zogenaamde "Clickjacking", waarbij een persoon die op het web surft klikt op een kwaadwillende, onzichtbare link zonder het realiseren van het, zei Giorgio Maone, een Italiaanse veiligheidsonderzoeker die schreef en onderhoudt het programma.

[Lees meer: ​​Hoe malware te verwijderen van uw Windows-pc]

Clickjacking is al enkele jaren bekend maar trekt opnieuw de aandacht na twee veiligheidsonderzoekers, Robert Hansen en Jeremia Grossman, waarschuwden vorige maand voor nieuwe scenario's die de privacy van een persoon in gevaar konden brengen of erger nog, stelen geld van een bankrekening. Helaas is clickjacking mogelijk door een fundamentele ontwerpfunctie in HTML die staat websites toe inhoud van andere webpagina's in te sluiten, aldus Maone. Bijna alle webbrowsers zijn kwetsbaar voor een clickjacking-aanval.

"Het is heel moeilijk om te repareren omdat het deel uitmaakt van de structuur van het web en de browser," zei Maone.

De ingesloten inhoud kan onzichtbaar zijn, maar een persoon kan er nog steeds onbewust mee omgaan. Een clickjacking-aanval haalt daar voordeel uit door een gebruiker te misleiden om op een knop te klikken die een functie lijkt te hebben, maar eigenlijk iets heel anders doet.

Clickjacking kan ook worden bereikt door de plug-ins van andere applicaties te manipuleren, zoals Adobe's Flash-programma en Microsoft Silverlight. Onderzoekers van de afgelopen dagen hebben bijvoorbeeld laten zien dat het mogelijk is dat een clickjacking-aanval de webcamera en microfoon van een persoon zonder medeweten inschakelt.

In een advies op dinsdag zei Adobe dat het tegen het einde van het jaar een patch voor Flash zal uitbrengen de maand.

De nieuwe verbetering van NoScript, genaamd ClearClick, kan detecteren of er een verborgen, ingebed element op de webpagina is. Vervolgens wordt een waarschuwingsbericht weergegeven waarin de gebruiker wordt gevraagd of deze nog steeds wil klikken.

Maone zei dat ClearClick waarschijnlijk alle clickjacking-pogingen zal stoppen. NoScript is alleen voor de Firefox-browser, dus gebruikers van Microsoft's Internet Explorer - de meest gebruikte browser ter wereld - zijn kwetsbaar.

Eigenaren van websites kunnen echter een stap zetten om te voorkomen dat hun gebruikers het slachtoffer worden, Zei Maone. Programmeurs kunnen op hun websites een script gebruiken dat controleert of een webpagina op een andere pagina is ingesloten. Als dat zo is, dwingt het script de goede webpagina naar voren toe, waardoor clickjacking wordt voorkomen, zei Maone.

De techniek wordt "framebusting" genoemd. Ebay's online betalingsdienst, PayPal, die vaak het doelwit is van cybercriminelen, heeft framebusting al geïmplementeerd, zei Maone. NoScript zal toestaan ​​dat een script voor framebusting wordt uitgevoerd, zei Maone.

"Het beste dat kan gebeuren, is dat websitebezitters beter gaan nadenken over beveiliging," zei Maone. "Het is belangrijk dat eigenaren van websites het woord verspreiden dat ze framebusting moeten implementeren."

Clickjacking is een serieus, potentieel langdurig probleem voor browserontwikkelaars. Omdat de aanval wordt geactiveerd door een functie binnen HTML, vereist dit wijzigingen in de HTML-specificatie.

Webstandaardgroepen werken momenteel aan HTML 5, een specificatie die nieuwe functies in de programmeertaal zal opnemen om tegemoet te komen aan toekomstig webontwerp. Maar het standaardproces verloopt traag en wijzigingen in HTML kunnen bestaande webpagina's breken, aldus Maone.

"Voor de gebruiker ben ik bang dat er voorlopig geen oplossing is maar wel NoScript", zei hij.