Blocos de Extensão do Firefox Dangerous Web Attack

O NoScript é um pequeno aplicativo que se integra ao Firefox. Ele bloqueia scripts em linguagens de programação, como JavaScript e Java, de executar em páginas da Web não confiáveis. Os scripts podem ser usados ​​para iniciar um ataque em um PC.

A versão mais recente do NoScript, versão 1.8.2.1, interromperá o chamado "clickjacking", em que uma pessoa que navega na Web clica em um link invisível e malicioso sem Percebendo isso, disse Giorgio Maone, pesquisador de segurança italiano que escreveu e mantém o programa

[Leia mais: Como remover malware do seu PC com Windows]

O clickjacking é conhecido há vários anos, mas chama a atenção novamente depois Dois pesquisadores de segurança, Robert Hansen e Jeremiah Grossman, alertaram no mês passado novos cenários que poderiam comprometer a privacidade de uma pessoa ou ainda pior, roubar dinheiro de uma conta bancária.

Infelizmente, clickjacking é possível devido a um recurso de design fundamental em HTML permite que os sites incorporem conteúdo de outras páginas da Web, disse Maone. Quase todos os navegadores da Web são vulneráveis ​​a um ataque de clickjacking.

"É uma coisa muito difícil de consertar porque é parte da estrutura da Web e do navegador", disse Maone.

O conteúdo incorporado pode ser invisível, mas uma pessoa ainda pode interagir com ela inconscientemente. Um ataque de clickjacking aproveita isso enganando o usuário ao clicar em um botão que parece fazer alguma função, mas na verdade faz algo totalmente diferente.

O clickjacking também pode ser feito manipulando-se os plug-ins de outros aplicativos, como o da Adobe. Programa Flash e Silverlight da Microsoft. Por exemplo, pesquisadores nos últimos dias mostraram que é possível que um ataque clickjacking ligue a câmera e o microfone da pessoa sem o conhecimento deles.

Em um comunicado publicado na terça-feira, a Adobe anunciou que lançará um patch para o Flash no final de o mês.

O novo aprimoramento do NoScript, chamado ClearClick, pode detectar se há um elemento oculto incorporado na página da Web. Em seguida, ele exibe uma mensagem de aviso perguntando ao usuário se ainda deseja clicar nele.

Maone disse que a ClearClick provavelmente interromperá todas as tentativas de clickjacking. O NoScript é apenas para o navegador Firefox, portanto, os usuários do Internet Explorer da Microsoft - o navegador mais usado no mundo - são vulneráveis.

Os proprietários de sites, no entanto, podem dar um passo para evitar que seus usuários sejam vítimas. Maone disse. Os programadores podem usar um script em seus sites da Web que verifica se uma página da Web está incorporada em outra página. Nesse caso, o script força a boa página da Web à frente, evitando o clickjacking, disse Maone.

A técnica é chamada de "framebusting". O serviço de pagamentos online do Ebay, o PayPal, que é freqüentemente alvo de criminosos cibernéticos, já implementou o framebusting, disse Maone. O NoScript permitirá que um script framebusting seja executado, disse Maone.

"A melhor coisa que pode acontecer é que os proprietários de sites comecem a pensar com mais cuidado com segurança", disse Maone. "É importante que os proprietários de sites divulguem a ideia de que devem implementar o framebusting".

O clickjacking é um problema sério e potencialmente de longo prazo para os desenvolvedores de navegadores. Como o ataque é ativado por um recurso em HTML, ele exige alterações na especificação HTML.

Grupos de padrões da Web estão atualmente trabalhando no HTML 5, uma especificação que incorporará novos recursos à linguagem de programação para acomodar futuros designs da Web. Mas o processo de padronização se move lentamente, e mudanças em HTML podem quebrar páginas existentes, disse Maone.

"Para o usuário, eu receio que não exista nenhuma correção, mas o NoScript por enquanto", disse ele.