¿Accediendo a las pulsaciones de teclado dirigidas a iframe?

4

Así que estaba haciendo una tarjeta de crédito virtual desde entropay.com y cuando decidí recargarla con mi tarjeta de débito existente. Se abrió la página 'Verificado por Visa' (una página en la que debe ingresar una contraseña para autorizar el pago a través de su tarjeta de débito. Se agrega como una medida de seguridad adicional para verificar el fraude de la tarjeta en caso de robo de su tarjeta) en un iframe Normalmente, cuando he usado la tarjeta de débito, los comerciantes abren la página en una nueva pestaña / ventana y allí ingreso la contraseña y luego me lleva a la página de confirmación de pago. Ahora, cuando ingreso una contraseña en una ventana / pestaña diferente, otras pestañas no pueden acceder a mis pulsaciones, por lo que no pueden saber mi contraseña pero no estoy seguro de que esto sea cierto para un iframe. Si ingreso datos en un iframe ya que la ventana principal aún está enfocada, ¿podrá registrar mis pulsaciones de teclado / datos del portapapeles?

Pido disculpas si este no era el lugar adecuado para hacer esta pregunta. En ese caso, ¿puede indicarme un lugar donde sea más adecuado?

    
pregunta Kam 07.08.2013 - 10:56
fuente

2 respuestas

2
  

Si ingreso datos en un iframe ya que la ventana principal aún está enfocada, ¿podrá grabar mis pulsaciones?

Tipo de. La ventana principal no puede interferir con los eventos clave en el propio iframe debido a la Política del mismo origen, pero hay varios ataques de clickjacking que le permiten subvertir esa interfaz. Una obvia es que podría superponer su propio cuadro de entrada en la parte superior de la interfaz de iframe en el mismo lugar donde estaría el cuadro de contraseña real de VbV.

En un nivel más básico, la ventana principal podría falsificar completamente el contenido del marco, ya sea creando su propia interfaz de phishing desde cero, o haciendo una gestión manual con contenido del servidor de autenticación del Emisor ( ACS). Dado que no hay un indicador del navegador para decirle de qué sitio proviene un iframe, no tiene forma de saber que realmente está hablando con su banco.

La consecuencia de esto es que en el modelo 3-D Secure basado en iframe, debes confiar absolutamente en el comerciante. Los comerciantes malintencionados y aquellos cuyos sitios están comprometidos (por ejemplo, por XSS) no forman parte del modelo de amenaza contra el que 3-D Secure intenta proteger.

Es bastante raro ver que 3-D Secure se abra en una nueva página o ventana emergente en estos días; El modelo emergente fue desaprobado por Visa hace años y el modelo de redirección no es el preferido por los comerciantes debido a la forma en que lleva al usuario fuera de la interfaz de usuario del comerciante.

    
respondido por el bobince 08.08.2013 - 14:23
fuente
0

Bueno, IFrames no ayudará mucho. Esto se debe a que los registradores de teclas normalmente funcionan en el nivel de hardware, kernel o API. En el nivel de API, por ejemplo, hay funciones como GetAsyncKeyState que le indicarán en cualquier momento si se presiona una tecla o no. Hay muchas técnicas, este es solo un ejemplo.

    
respondido por el oldnoob 07.08.2013 - 17:06
fuente

Lea otras preguntas en las etiquetas