Viime viikkoina tietoturvapiireissä on keskusteltu niin sanotusta clickjacking-haavoittuvuudesta. Ongelma on oletetusti hyvin monisyinen ja koskettaa muun muassa käytetyimpiä verkkoselaimia.

Haavoittuvuuden havaitsivat tietoturva-asiantuntijat Jeremiah Grossman ja Robert Hansen. Nyt he ovat julkaisseet ongelmasta yksityiskohtaisempaa tietoa.

Vian avulla internetin käyttäjiä voidaan kurittaa arviolta monin eri tavoin. Yksi salakavalimmista lienee web-kameran ja mikrofonin kaappaaminen, Grossman kertoo blogissaan.

- Verkkosivut … voivat kirjaimellisesti nähdä ja kuulla sinut (clickjackingin ja Adobe Flashin avulla), Grossman kirjoittaa. Mikä tahansa mikrofonilla ja/tai web-kameralla varustettu tietokone voidaan vaivihkaa muuntaa vakoilulaitteeksi yhdellä käyttäjän tekemällä onnettomalla hiiren klikkauksella.

Mitä menitkään klikkaamaan?

Clickjacking menetelmänä perustuu tietokoneen ruudulla vain hetkellisesti tai vain vaivoin nähtävissä olevan kohteen painallukseen hiirellä. Käyttäjä voi siis olettaa painavansa jotakin turvallista nappia, mutta todellisuudessa hän painoikin koneelleen sisältöä joltakin muulta verkkosivulta.

Jeremiah Grossman ja Robert Hansen löysivät clickjacking-tekniikan aikaisemmin tänä vuonna ja aikoivat kertoa siitä New Yorkissa viime kuussa. Mutta he päättivät jättää menetelmän julkaisematta, jotta valmistajilla olisi aikaa korjata ongelma.

InformationWeekin mukaan ongelman korjaaminen on kuitenkin osoittautunut kaikkea muuta kuin helpoksi, sillä clickjacking on erilaisten hyökkäystapojen, haavoittuvien ohjelmistojen ja verkkosivujen vyyhti.

Adoben Flash on vain yksi esimerkki. Robert Hansen on aikaisemmin todennut Microsoftin ja Mozillan vahvistaneen omalta osaltaan, että vika on vaikea, eikä helppoa ratkaisua ole näköpiirissä.

Verkkokameran ja mikrofonin vakoilemisen voi toki helposti estää vaikkapa teippaamalla kameran ja kytkemällä mikrofonin pois päältä. Mutta moniko on valmis niin tekemään? Adobe on parhaillaan korjaamassa haavoittuvuutta.