एडोब के अनुरोध पर, हैकर्स निक्स 'क्लिकजैकिंग' टॉक

एडॉइड सिस्टम के बाद उनको उनके निष्कर्षों के बारे में चुप रहने के लिए कहा गया, दो सुरक्षा शोधकर्ताओं ने एक तकनीकी बात से बाहर निकल कर रखा है जहां वे यह प्रदर्शित करने जा रहे थे कि वे एक ऑनलाइन हमले के उपयोग से पीड़ित व्यक्ति के नियंत्रण को कैसे जब्त कर सकते हैं 'clickjacking । '

रॉबर्ट हंसेंन और यिर्मयाह ग्रॉसमैन न्यू यॉर्क में ओ ओ ए ए एस पी (ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट) सम्मेलन में अगले हफ्ते अपनी बात देने के लिए तैयार थे। लेकिन अवधारणा कोड का सबूत यह दिखाने के लिए विकसित किया गया था कि कैसे उनके क्लिकजैकिंग हमले ने एडोब के उत्पादों में से एक में एक बग का खुलासा किया। एडोब के साथ चर्चा के एक हफ्ते के बाद, शोधकर्ताओं ने कल शुक्रवार को बात खींचने का फैसला किया।

हालांकि हैनसेन और ग्रॉसमैन का मानना ​​है कि क्लिकजैकिंग दोष अंततः उस तरीके से निहित है कि इंटरनेट ब्राउज़रों को डिज़ाइन किया गया है, एडोब ने उन्हें अपनी चर्चा पर रोक दिया जब तक वे एक पैच जारी नहीं कर सके व्हाइट हेट सिक्योरिटी के साथ ग्रोस्टमन, सीटीओ, एक साक्षात्कार में "एडोब सोचता है कि वे कुछ हद तक कड़ी मेहनत करने के लिए कर सकते हैं।

एक क्लिक जेकिंग हमले में, हमलावर शिकार को शिकार के लिए दुर्भावनापूर्ण वेब लिंक पर क्लिक किए बिना इसे साकार करता है इस तरह के हमले के वर्षों के लिए जाना जाता है, लेकिन विशेष रूप से खतरनाक माना नहीं गया था। सुरक्षा विशेषज्ञों ने सोचा था कि इसका उपयोग विज्ञापन क्लिक धोखाधड़ी करने या वेब पेज के लिए Digg रेटिंग बढ़ाना, उदाहरण के लिए किया जा सकता है।

हालांकि, अपने प्रूफ ऑफ अवधारणा कोड को लिखकर, हैनसेन और ग्रॉसमैन ने महसूस किया कि क्लिकजैकिंग वास्तव में अधिक है वे पहले सोचा था की तुलना में गंभीर।

"जब हम अंत में इसे बनाया और अवधारणा का सबूत मिला तो यह बहुत बुरा था," ग्रॉसमैन ने कहा। "अगर मैं आप पर नियंत्रण करता हूं, तो आप कितना बुरा कर सकते हैं? यह पता चला है कि आप वाकई बहुत ही बुरी चीजें कर सकते हैं।"

परामर्श सेक्रेटरीज के सीईओ ग्रॉसमैन और न ही हेनसेन, विशेष में शामिल होना चाहते थे उनके हमले का हालांकि, ओडब्ल्यूएएसपी सम्मेलन के आयोजक टॉम ब्रेंनन ने कहा कि उन्होंने देखा है कि हमला कोड दिखाया गया है और इससे हमलावर पीड़ित के डेस्कटॉप पर पूरा नियंत्रण लेने की अनुमति देता है।

शोधकर्ता कहते हैं कि एडोब द्वारा उनकी बात । हंसें अपने ब्लॉग पर सोमवार को लिखा था, "यह एक बुराई नहीं है, वह आदमी हमें हैकर्स डाउन की स्थिति को बनाए रखने की कोशिश कर रहा है।"

देर सोमवार, एडोब ने एक नोट पोस्ट किया, बग को निजी रखने के लिए शोधकर्ताओं का धन्यवाद किया और यह संकेत दिया कि कंपनी समस्या को पट्टी पर काम कर रही है।

बग का खुलासा करने पर भी हमलावरों को मदद मिल सकती है, ओडब्ल्यूएएसपी के ब्रेनन ने कहा कि शोधकर्ताओं को अभी भी आगे बढ़ना चाहिए और आईटी पेशेवरों को खतरे की वास्तविक प्रकृति को समझने का अवसर देने के लिए अपनी बात देनी चाहिए । "आज ब्राउज़रों में शून्य दिन की समस्या है जो आज लाखों लोगों को प्रभावित कर रही है," उन्होंने कहा। "जब कोई व्यक्ति इसे चर्चा करता है, तो वह हर किसी को एक ही खेल मैदान पर रखता है।"

हैनसेन और ग्रॉसमैन का कहना है कि वे भी माइक्रोसॉफ्ट को इंटरनेट एक्सप्लोरर में एक संबंधित बग को पैच करने की उम्मीद करते हैं, और यह कि कई अन्य ब्राउज़र्स भी क्लिकजैकिंग समस्या से प्रभावित हैं । "हम मानते हैं कि यह एक ब्राउज़र सुरक्षा समस्या कम या ज्यादा है," ग्रॉसमैन ने कहा।