Uma nova técnica de clickjacking foi descoberta utilizando exclusivamente filtros CSS e gráficos SVG, permitindo que invasores enganem usuários e contornem proteções tradicionais implementadas nos navegadores modernos. O método foi apresentado pela pesquisadora Lyra Rebane durante a conferência BSides Tallinn e chamou atenção da comunidade por não depender de JavaScript para funcionar. A técnica explora filtros de transparência e manipulação gráfica em elementos SVG embutidos em iframes, permitindo visualizar e interagir com interfaces de outros sites carregados em segundo plano.
Isso possibilita que um invasor crie sobreposições visuais precisas e invisíveis ao usuário, redirecionando cliques para áreas controladas, um comportamento clássico de clickjacking, mas com novos recursos. O diferencial é que, ao usar apenas CSS e SVG, a técnica contorna cabeçalhos como X-Frame-Options e políticas de Content Security Policy (CSP), que normalmente protegem contra esse tipo de ataque. Mesmo páginas com medidas básicas de segurança podem ser vulneráveis se forem embutidas visualmente por elementos vetoriais manipulados. Essa abordagem permite que atacantes criem páginas que parecem inofensivas, mas que exploram ações legítimas da vítima, como autorizações em sistemas bancários, confirmações de login, ou concessão de permissões sensíveis, sem que o usuário perceba.
Até o momento, não há soluções amplamente implementadas para bloquear completamente o ataque. Como ele não utiliza scripts nem executa códigos ativos no contexto da página vítima, a detecção por firewalls de aplicação e sistemas de proteção baseados em comportamento é significativamente mais difícil. A descoberta reforça a necessidade de revisar a forma como navegadores lidam com renderização de conteúdos SVG e CSS complexos, especialmente em contextos de iframe e origem cruzada. Algumas propostas envolvem restrições adicionais à renderização de conteúdo visual externo ou novas políticas de isolamento para filtros gráficos.
