Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/07/2013
Vulnerabilitat clickjacking detectada en Linkedin
En les últimes hores s’ha detectat una nova vulnerabilitat en la xarxa social professional Linkedin, que permet a un atacant publicar i compartir contingut en nom d’altres usuaris per mitjà d’una tècnica coneguda com a clickjacking. El problema encara no ha sigut solucionat i afecta tots els usuaris de la xarxa social.
Narendra Bhati ha sigut l’analista de seguretat que ha detectat esta vulnerabilitat en el servici Linkedin. Clickjacking és una tècnica que consistix a enganyar l’usuari per què faça clic sobre un element en què normalment no ho faria. Per a això, consta d’una capa transparent que se situa damunt d’un element sobre el qual sí que faríem clic; així, al fer clic sobre l’element real, estarem fent clic sobre un fals element que podrà dur a terme diverses accions.
Per a protegir-nos-en, hem d’instal·lar una extensió en el nostre navegador que bloquege els scripts que s’executen sense consentiment. Per exemple, en Firefox podem utilitzar l’extensió NoScript, i en Chrome podem instal·lar ScriptSafe per a poder evitar tant com siga possible caure en este tipus d’atacs.
També hem de fixar-nos sempre en el que publiquem i compartim, per a evitar este tipus d’accions. La precaució més segura és revisar el codi de l’element que volem polsar, per veure si, en veritat, correspon a l’enllaç que volem seguir o si, contràriament, està suplantat. Els responsables de Linkedin ja tenen coneixement d’esta fallada i estan treballant per a poder instal·lar una solució a esta vulnerabilitat com més prompte millor.
Fa poques setmanes vos alertàvem d'un problema semblant detectat en el connector Flash de Google Chrome. Aconseguia enganyar l’usuari perquè, al fer clic sobre un enllaç, l’única cosa que feia era activar la webcam i el micròfon per a ser espiat per l’atacant. En el cas de Linkedin, l’atacant enganya l’usuari perquè publique enllaços o imatges en nom seu fent clic sobre un enllaç ocult.