Waspada, Serangan Clickjacking Mulai Infeksi Browser

Sebuah platform teknik misterius telah mengeksploitasi browser web, yang dinamakan “Clickjacking”. US CERT (United States Computer Emergency Readiness Team), Jumat lalu telah mengingatkan mengenai teknik ini. Dalam blog yang diposting tanggal 15 September oleh Jeremiah Grossman, founder dan CTO (Chief Technical Officer) dari WhiteHat Security, mengungkapkan bahwa clickjacking memberi kemudahan bagi attacker untuk mengelabui user agar user sedikit saja meng-click sesuatu. Untuk itu, jika user meng-click di halaman web, maka mereka sebenarnya meng-click content dari halaman lain.

Agen keamanan pemerintah juga menyatakan bahwa kelemahan tersebut telah berimbas pada browser web yang modern, namun sementara kelemahan tersebut belum diperbaiki, maka resiko dapat diperkecil dengan men-disable semua script browser dan plug-in do browser. Untuk pengguna Firefox, ada ekstensi Firefox NoScript yang dapat melakukannya. Namun, ada juga untuk memblokir plug-in dengan FlashBlock, Adblock Plus, dan CustomizeGoogle.

Sementara itu, clickjacking sendiri telah menginfeksi Apple Safari, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, dan Opera. Rsnake Hansen, founder dan CEO dari SecTheory, mengungkapkan penyerangan browser ini sangatlah mudah. Pada dasarnya, user hanya menggunakan mouse untuk meng-click link, ke halaman yang tidak dikehendaki. Hal ini pun telah menjadi bahan perbincangan antara vendor browser seperti Microsoft, Mozilla, dan Adobe. Alasan Adobe masuk ke dalamnya karena menyangkut software Flash miliknya, yang terinstal masuk ke plug-in semua browser, yang dapat digunakan untuk eksploitasi clickjacking.

Hansen menjelaskan bug dalam browser ini berbeda dengan bug Internet yang disampaikan Kamisnky, Agustus lalu. Bug Kamisnky tidak membutuhkan interaksi user dan dapat menginfeksi dimana saja. Namun, untuk clickjacking ini, dibutuhkan interaksi user, bug tersebut hampir sama ketika buffer mengalami overflow dalam browser modern, namun perbedaannya, user tidak dapat memperbaikinya.

Sebuah platform teknik misterius telah mengeksploitasi browser web, yang dinamakan “Clickjacking”. US CERT (United States Computer Emergency Readiness Team), Jumat lalu telah mengingatkan mengenai teknik ini. Dalam blog yang diposting tanggal 15 September oleh Jeremiah Grossman, founder dan CTO (Chief Technical Officer) dari WhiteHat Security, mengungkapkan bahwa clickjacking memberi kemudahan bagi attacker untuk mengelabui user agar user sedikit saja meng-click sesuatu. Untuk itu, jika user meng-click di halaman web, maka mereka sebenarnya meng-click content dari halaman lain.

Agen keamanan pemerintah juga menyatakan bahwa kelemahan tersebut telah berimbas pada browser web yang modern, namun sementara kelemahan tersebut belum diperbaiki, maka resiko dapat diperkecil dengan men-disable semua script browser dan plug-in di browser. Untuk pengguna Firefox, ada ekstensi Firefox NoScript yang dapat melakukannya. Namun, ada juga untuk memblokir plug-in dengan FlashBlock, Adblock Plus, dan CustomizeGoogle.

Sementara itu, clickjacking sendiri telah menginfeksi Apple Safari, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, dan Opera. Rsnake Hansen, founder dan CEO dari SecTheory, mengungkapkan penyerangan browser ini sangatlah mudah. Pada dasarnya, user hanya menggunakan mouse untuk meng-click link, ke halaman yang tidak dikehendaki. Hal ini pun telah menjadi bahan perbincangan antara vendor browser seperti Microsoft, Mozilla, dan Adobe. Alasan Adobe masuk ke dalamnya karena menyangkut software Flash miliknya, yang terinstal masuk ke plug-in semua browser, yang dapat digunakan untuk eksploitasi clickjacking.

Hansen menjelaskan bug dalam browser ini berbeda dengan bug Internet yang disampaikan Kamisnky, Agustus lalu. Bug Kamisnky tidak membutuhkan interaksi user dan dapat menginfeksi dimana saja. Namun, untuk clickjacking ini, dibutuhkan interaksi user, bug tersebut hampir sama ketika buffer mengalami overflow dalam browser modern, namun perbedaannya, user tidak dapat memperbaikinya. (h_n)