O clickjacking há muito é considerado um ataque “burro” no mundo da segurança cibernética. Tradicionalmente, envolve colocar um quadro invisível sobre um site legítimo para induzir o usuário a clicar em um botão que não pretendia, como mascarar um botão “Excluir conta” com uma sobreposição falsa de “Reproduzir vídeo”.
No entanto, uma pesquisadora de segurança conhecida como Lyra revelou uma nova técnica sofisticada chamada “clickjacking SVG” que muda fundamentalmente o cenário de ameaças.
Um pesquisador de segurança revelou uma nova técnica de exploração que transforma fundamentalmente a forma como os ataques de clickjacking operam, transformando-os de simples truques de “botões ocultos” em explorações complexas e interativas, capazes de ler o conteúdo da tela e executar lógica.
Apelidada de “clickjacking SVG” por seu descobridor, a pesquisadora conhecida como Lyra (ou rebane2001), a técnica aproveita filtros Scalable Vector Graphics (SVG) para criar sobreposições “inteligentes” que podem detectar e responder ao estado de um site alvo.
Sobreposição de clickjacking SVG (fonte: Lyra)
Ao contrário do clickjacking tradicional, em que os invasores simplesmente sobrepõem um iframe invisível para induzir os usuários a clicar em um botão, esse novo método permite que a página de ataque “leia” pixels do site da vítima e altere sua própria interface com base no que o usuário vê.
Ilustração SVG de clickjacking (fonte: Cybersecuritynews)
Ataque de clickjacking SVG
O núcleo da vulnerabilidade está na maneira como os navegadores modernos processam filtros SVG, como feDisplacementMap, feColorMatrix e feComposite. Embora essas ferramentas sejam projetadas para efeitos gráficos como refrações ou mudanças de cores, Lyra demonstrou que elas podem ser reaproveitadas para realizar operações lógicas.
Ao encadear esses filtros, um invasor pode construir portas lógicas funcionais (AND, OR, XOR) diretamente no mecanismo de renderização do navegador. Isso efetivamente transforma o filtro SVG em um computador primitivo que pode monitorar um iframe de origem cruzada.
Por exemplo, um ataque pode detectar se uma caixa de diálogo específica apareceu, se uma caixa de seleção está marcada ou se o texto de erro vermelho está visível e, em seguida, atualizar dinamicamente a sobreposição falsa para guiar o usuário através de um processo de várias etapas.
Lyra demonstrou a severidade da técnica com um ataque de prova de conceito contra o Google Docs, que ganhou uma recompensa de US$ 3.133,70 do Programa de Recompensa por Vulnerabilidade do Google.
Na demonstração, o invasor enganou um usuário para que gerasse um documento, digitando um “captcha” falso em uma caixa de texto (que na verdade era um campo de entrada do Google Docs) e clicando em uma sequência de botões.
O ataque foi notável porque exigia que a sobreposição reagisse ao estado do documento, ocultando a caixa de entrada falsa depois que o usuário tivesse “digitado” o captcha com sucesso e mostrando um novo botão somente quando o documento estivesse pronto.
“No passado, partes individuais de tal ataque poderiam ter sido realizadas por meio do clickjacking tradicional… mas todo o ataque teria sido muito longo e complexo para ser realista”, escreveu Lyra.
Talvez a aplicação mais impressionante do clickjacking SVG seja sua capacidade de exfiltrar dados. O pesquisador mostrou como a técnica pode ler pixels sensíveis de um site alvo e codificar esses dados em uma URL, que é então renderizada como um código QR escaneável usando o filtro feDisplacementMap.
Isso cria um cenário em que um invasor pode solicitar que um usuário “escaneie este código para verificar se você é humano”, enquanto o código na verdade contém uma URL com os dados da sessão roubada ou informações privadas incorporadas nos parâmetros.
Esta pesquisa marca uma escalada significativa nos ataques de “reparação de IU”. Ao provar que os filtros SVG podem atuar como um canal lateral para ler pixels de origem cruzada e executar lógica, a pesquisa sugere que simplesmente confiar na obscuridade visual não é mais uma defesa suficiente contra o clickjacking.
Como observou Lyra, a técnica permite ataques “interativos” e “responsivos”, contornando as suposições cegas que anteriormente limitavam o impacto de tais explorações.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
