Es posible diseñar un sitio web malicioso de forma que los clics de un usuario sean discretamente redirigidos a un sitio legítimo de una manera que roba las contraseñas y otros datos de un usuario. Muchos desarrolladores web han añadido protecciones para bloquear esta táctica en los sitios web estándar, pero un equipo de investigadores de la Universidad de Stanford advierte que no hay suficientes defensas contra esta técnica en los sitios web para móviles, a los que se accede desde dispositivos como el iPhone.

Como resultado, un usuario de un teléfono de tipo smartphone podría pensar que está pulsando para comprobar una puntuación de béisbol, pero en realidad está tocando un botón de una página oculta para confirmar una transferencia de dinero.

Los usuarios de teléfonos móviles pueden ser especialmente vulnerables a este tipo de trucos. Por un lado, en los teléfonos de tipo smartphone, las partes de la interfaz de usuario que indican si una página es segura que por lo general aparecen en la barra del navegador, desaparecen normalmente para maximizar el área de la pantalla. Debido a que el navegador por lo general ocupa toda la pantalla del teléfono, un atacante puede "dibujar lo que quiera en la pantalla, y el usuario no puede saber qué es real y qué es del atacante", señala Elie Bursztein, estudiante de postdoctorado del Laboratorio de Seguridad de la Universidad de Stanford.

Por encima de todo, los dispositivos móviles son cada vez unos objetivos más gordos, señala Bursztein, porque la gente pasa más tiempo con ellos e intercambia datos importantes. “La gente compra cosas con su teléfono, usa Facebook y Twitter, y pronto realizarán transacciones bancarias con el teléfono,” afirma él.

Bursztein y los otros investigadores de Stanford presentaron sus resultados en el Taller sobre Tecnologías Ofensivas (WOOT, por sus siglas en inglés), que tuvo lugar la semana pasada. Ellos llamaron al problema "tapjacking", una referencia a "clickjacking", el término usado cuando el mismo método de ataque se utiliza en un navegador de PC.

"Se trata de un montón de pequeños hacks pegados juntos para crear un gran problema", indica Kevin Mahaffey, director de tecnología de Lookout, una empresa de seguridad que se centra en los dispositivos móviles. "Y se necesitará un gran esfuerzo concertado para resolver el problema."

El clickjacking fue descrito en un informe de 2008 de dos investigadores, Robert Hansen  de SecTheory y Jeremiah Grossman de WhiteHat Security. Ellos mostraron cómo la superposición de interfaces de usuario malintencionadas, por lo general marcos invisibles de un navegador que capturan las acciones de un usuario, podría llevar a hacer creer a las víctimas que están interactuando con una página Web, cuando en realidad sus clics están siendo capturados por otra página completamente diferente. No es necesario que los usuarios tengan sus ordenadores infectados con un virus o un troyano. Sólo tienen que ir a un sitio web que muestre el contenido--como un anuncio de Flash--controlado por el atacante.

Los desarrolladores de navegadores podrían bloquear este problema impidiendo que las páginas web tengan acceso a otros dominios. Sin embargo, eso rompería una gran cantidad de funciones utilizadas con fines legítimos, incluida la publicidad. En cambio, los desarrolladores de navegadores han dado a los programadores web la capacidad de permitir que los scripts de programación se ejecuten sólo si proceden de sitios externos autorizados.

Los programadores también pueden ejecutar código "bloqueador de marcos" para evitar que un marco invisible muestre otra página. No obstante, mientras que algunos sitios web han puesto en práctica estas defensas para evitar el clickjacking, los sitios creados específicamente para dispositivos móviles rara vez las incorporan. Los investigadores de Stanford encontraron código bloqueador de marcos en uno de cada siete sitios que aparecen en el ranking de Alexa de los 500 sitios web más populares. Más de la mitad de estas 500 páginas tiene un portal específico para dispositivos móviles, pero sólo dos de todos estos sitios móviles tenía las defensas bloqueadoras de marcos.

"La seguridad de las páginas web para móviles debería ser tomada tan en serio como la seguridad web no móvil--de lo contrario, pueden suceder cosas malas", señala Bursztein.

Además de las vulnerabilidades estándar del clickjacking, el tapjacking también podría permitir a un atacante tomar las credenciales de la red inalámbrica de la casa del usuario. A partir de aquí, un atacante podría determinar la ubicación física de la red inalámbrica. Esta técnica sería relativamente sencilla en los teléfonos, afirma Craig Heffner, consultor de seguridad que hizo una presentación sobre los problemas de los routers en casa en la reciente conferencia Black Hat.