Jen tři české banky jsou odolné proti útoku ClickJacking

Tak by mne zajimalo, jak je mozne pomoci clickjackingu napriklad potvrdit platbu, pokud je vyzadovano opsani cisla/kodu/hesla co prijde na mobil? Takto to ma reseno treba CSOB a asi i jine banky.

Tak tak jsem u RB bývalé eBanka a touto cestou mě opravdu nikdo nepřemluví abych něco odsouhlasil aniž bych si všimnul že musím dvakrát sáhnout po "kalkulačce" jednou abych se přihlásil podruhé abych platbu verifikoval. Jsou to všechnno jenom bubliny

Naprosto souhlasím!

Ale to je Vase hloupost :) To ze neco takto provadite Vy, neznamena, ze to tak dela vetsina ;)
Mate tam zcela jasne napsano co/kam/kde. Nehledne na to, ze tato SMS zprava Vam take jde do bank. aplikace v telefonu nikoli jako obyc zprava (pokud nejste u sockoidni Ceske Siditelny nebo jine parodie na banku).
Predpokladam take, ze tato autor. zprava je presne urcena na danou platbu (castka, datum, cilovy ucet, atp, aby pripadne kod nemohl byt zneuzit pro jiny ucel) - to ale nemohu potvrdit, protoze to nemam overeno v praxi.

Tak a kdyz si toto shrneme a zjistime, ze eBanka s timto resenim prisla v roce 98 - co rikate na svou urcite skvelou banku? Rikam, ze banky jsou pozadu a implementuji nova zabezpeceni pomalu.

To mate z toho, ze pouzivate sms. Ja na kalkulacce nemusim nic kontrolovat - ja tam proste napisu co a komu chci zaplatit a pak opisu kod. Jedine, co mi kdo muze - kdyz prijdu k nahodnemu pociteci nekde v kavarne v turecku - je kouknout se prez rameno kolik tam mam a komu jsem platil ... coz jde i mnohem jednoduseji, nez clickjackingem.

Co je vlastně ta kalkulačka? Klasická nebo je to nějaký HW z banky, který Vám vygeneruje potvrzovací kód?.

Jsem paranoidni a proto tu SMSku ctu vzdy a to do detailu. Jeste jsem ani jedinkrat cteni "neurychlil".

ja mam pocit ze ten utok umoznuje napriklad v obsahu jine stranky "pouzit" iframe s prihlasenim ukradnutem z vedlejsiho tabu apod...

Asi jsem úplně blbej, ale nechápu jak bych se mohl do takové situace dostat. Přihlásím se do systému na webu banky. V prohlížeči mám spuštěn jen web banky. Jak se ke mně dostane ta podvržená stránka?

Jednoduše - objevíš se na cizí stránce (třeba porno, herna, whatever), bude tam otázka, jestli ti už bylo 18 let, klikenš na ano a ejhle, to ano bylo z formuláře tvé banky potvrzující převod obsahu tvého konta na jejich účet (přičemž ten formulář tam načetla ta cizí stránka).

a jakým způsobem se vůči bance autentizovala ta "špatná stránka"?

Velice jednoduše - vůči stránce se autentizoval váš prohlížeč, například v případě, kdy tu vadnou stránku prohlížíte a zároveň jste (v jiném tabu nebo okně) přihlášen k bance nebo jste se prostě a jednoduše zapomněl po práci s bankou odhlásit.

Potvrzovací kód SMS může být zneužit výhradně tehdy, když nezkontrolujete v došlé SMS, jakou částku a na jaký účet chcete poslat. Komu není rady, tomu není pomoci.

Oni tam vůbec byli samí odborníci.

A mohl by ještě někdo vysvětlit tohle? "umožnit útočníkovi skrze uživatele přístup k citlivým datům" - zobrazovanou stránku, i když redresovanou, snad vidí jen uživatel, a i když na něco klikne, tak se to dostane k útočníkovi jak? Nějak nevidím věrohodný scénář (pokud nebude mít napadená stránka v sobě nějakou reflektovanou XSS samu o sobě).

No, předpokládám, že ochrana proti CJ spočívá v tom, že se kontroluje, jestli stránka není třeba v iframe... A pomocí JS není problém získat obsah stránky v iframe.

Byl by nějaký odkaz na způsob, jak to lze udělat pokud browser dodržuje same origin policy (což bývá zvykem), a pokud ji nedodržuje, jak tahle obrana zabrání témuž přes HTTP request z JS?

Každopádně, tohle pokud dobře vidím nemá nic společného s clickjackingem, uživateli se nemusí nic předkládat ke kliknutí.

O odkaze nevím, jen jsem to z placu vymyslel... A s tím iframe jsem to myslel tak, že se do iframe velikosti tlačítka nate stránka a přes js posune tak, že je z ní vidět právě to tlačítko s nápisem "ANO" a sexuchtivý uživatel vlastně kliká na stránku v iframe...
Jestli je ovšem tohle skutečně CJ netuším, natolik se v téhle oblasti neorientuju.

No a když už tam je to tlačítko načtené, můžeme si rovnou přečíst co tam je, případně se s uživatelovou pomocí proklikat dál.