Uma nova técnica batizada de "SVG clickjacking" demonstra que filtros SVG podem ser usados como canal lateral para ler pixels de frames cross-origin e construir lógica reativa em overlays, segundo reportagem que cobre o trabalho do pesquisador Lyra.
Descoberta e panorama
O pesquisador conhecido como Lyra (também referido como rebane2001) demonstrou que filtros SVG — entre eles feDisplacementMap, feColorMatrix e feComposite — podem ser encadeados para formar portas lógicas (AND, OR, XOR) e operar como um primitivo computacional dentro do pipeline de renderização do navegador. A técnica foi descrita em cobertura do Cyber Security News e no próprio blog do pesquisador.
Abordagem técnica
Contrariamente ao clickjacking tradicional, que depende apenas de sobreposição visual de iframes invisíveis, o método demonstrado permite que a página atacante "leia" informação visual (pixels) do site vítima — incluindo presença de diálogos, texto de erro em vermelho ou campos marcados — e altere dinamicamente a interface falsa com base nesse estado.
Lyra mostrou um proof-of-concept contra Google Docs que rendeu um pagamento de US$ 3.133,70 pelo programa de recompensas do Google. No PoC, o overlay respondeu ao estado do documento: escondia e mostrava falsos campos e botões conforme o usuário avançava pelo fluxo, e chegou a codificar dados lidos em um URL convertido em QR code via feDisplacementMap.
Impacto e risco
- Escopo: a técnica explora capacidades de renderização de navegadores; o PoC foi demonstrado contra Google Docs.
- Potencial: ataques interativos que guiam usuários por fluxos multi‑etapa e possibilitam exfiltração de dados visuais codificados em URLs/QR codes.
- Recompensa: o pesquisador recebeu US$ 3.133,70 no PoC descrito nas fontes.
Limitações e o que falta saber
As matérias explicam o mecanismo geral e mostram o PoC, mas não trazem um inventário completo de navegadores afetados nem cronograma de correções por fornecedores. As fontes também não indicam se já há detecções em campanhas ativas — tratam-se, por ora, de pesquisa técnica com prova de conceito e recompensa documentada.
Mitigações e recomendações práticas
As reportagens não detalham correções específicas fornecidas por navegadores; organizações e times de segurança devem:
- Revisar políticas de framing (X-Frame-Options, CSP frame-ancestors) e reduzir superfícies expostas a terceiros.
- Aumentar sensoriamento de páginas críticas quanto a interações suspeitas e fluxos UI inesperados.
- Priorizar testes de segurança em aplicações de alto risco (editores online, fluxos de pagamento, MFA) e acompanhar orientações de fabricantes de navegadores.
Contexto e implicações
A técnica amplia o alcance do chamado "UI redress" ao demonstrar um vetor que combina reconhecimento visual cross-origin com lógica reativa no overlay. Isso sugere que defesas baseadas apenas em obscuridade visual são insuficientes quando filtros gráficos podem atuar como canais de informação.
Trecho citado do pesquisador Lyra: "In the past, individual parts of such an attack could’ve been pulled off through traditional clickjacking… but the entire attack would’ve been way too long and complex to be realistic."