Rencontrez le cousin plus sophistiqué du clickjacking, le ‘gesture jacking’, également connu sous le nom de ‘cross window forgery’.

Les navigateurs Web luttent toujours pour prévenir le clickjacking, une technique d’attaque qui a été observée pour la première fois en 2008 et qui réutilise les éléments de l’interface des pages Web pour tromper les visiteurs. Malgré les efforts continus pour atténuer le risque à travers des correctifs de bogues et des changements de comportement des navigateurs, des variations d’attaques intrusives continuent d’apparaître, laissant aux développeurs Web la charge de fournir des défenses là où les navigateurs échouent à ériger des barrières. Le clickjacking, également connu sous le nom d’attaque de détournement de l’interface utilisateur, implique la manipulation de la structure de la page Web ou des éléments interactifs pour que les clics des utilisateurs soient enregistrés ailleurs que prévu, par exemple sur un iframe caché contenant une publicité servie à partir d’un domaine non lié au site hôte. Google a traité ce scénario particulier il y a plusieurs années dans le but de réduire la fraude publicitaire, mais il s’agit d’une situation en constante évolution. La dernière variation de la technique a été surnommée « faux de fenêtres croisées » par Paulos Yibelo, un analyste en sécurité chez Amazon. Dans un rapport personnel en février, il a expliqué que la technique repose sur la persuasion de la victime de presser ou de maintenir enfoncée la touche Entrée ou la barre d’espace sur un site Web contrôlé par l’attaquant. Cela peut prendre la forme d’un site Web contenant un élément interactif qui demande à l’utilisateur: « Appuyez et maintenez Enfoncée la touche Entrée pour continuer. » En utilisant du code qui intercepte l’événement de pression sur une touche et exécute une fonction d’attaque, l’attaquant peut ouvrir une URL prompt d’autorisation OAuth malveillante dans une nouvelle petite fenêtre du navigateur pour recevoir la pression sur une touche toujours active.