Експлойт на DoubleClickjacking

Анализаторите на заплахи са открили наскоро идентифициран клас уязвимости, базирани на времето, които използват последователност от двойно щракване, за да активират атаки за кликване и неоторизиран достъп до акаунти в множество значими уебсайтове. Тази техника, наречена DoubleClickjacking, въвежда нов подход към манипулирането на потребителския интерфейс, който заобикаля съществуващите мерки за сигурност.

Нов подход към Clickjacking

За разлика от традиционните методи за щракване, които разчитат на едно щракване на потребителя, DoubleClickjacking използва краткото забавяне между две последователни щраквания. Въпреки че това може да изглежда като малка промяна, то ефективно заобикаля защити като заглавката X-Frame-Options и SameSite: Lax/Strict настройките на бисквитките.

Clickjacking, известен също като UI redressing, заблуждава потребителите да взаимодействат с елементи, които те възприемат като безобидни – като бутони – само за да предизвика неволни действия, включително кражба на данни или пробиви в сигурността. DoubleClickjacking усъвършенства тази концепция, като използва интервала между кликванията, позволявайки на нападателите да заменят контролите за сигурност и да откраднат акаунти с минимално участие на потребителя.

Как работи атаката

Техниката се развива в следната последователност:

• Потребител посещава измамен уебсайт, който автоматично отваря нов раздел на браузъра или го подканва да го направи.
• Този нов прозорец, който може да се появи като рутинна CAPTCHA проверка, инструктира потребителя да щракне два пъти.
• Когато се случи двукратното щракване, оригиналният сайт незабелязано пренасочва към злонамерена страница - като OAuth заявка за оторизация.
• Едновременно с това изскачащият прозорец се затваря, карайки потребителя да одобри критично искане за разрешение на оригиналния сайт несъзнателно.

Тъй като повечето защити на уеб сигурността са проектирани да противодействат само на единични принудителни кликвания, този метод ефективно заобикаля конвенционалните предпазни мерки. Мерки като X-Frame-Options, SameSite cookies и Content Security Policy (CSP) не могат да смекчат тази заплаха.

Превантивни мерки и дългосрочни решения

За да се справят с този проблем, разработчиците на уебсайтове могат да внедрят защити от страна на клиента, които деактивират основните бутони за действие, освен ако не бъде открито инициирано от потребителя движение на мишката или натискане на клавиш. Някои платформи, включително Dropbox, вече използват такива защитни механизми за предотвратяване на неоторизирани взаимодействия.

Като дългосрочно решение експертите по сигурността препоръчват доставчиците на браузъри да установят нови стандарти, подобни на X-Frame-Options, за да смекчат ефективно атаките, базирани на двойно щракване.

Нов обрат в Clickjacking

DoubleClickjacking е еволюция на добре документирани техники за щракане, използващи фините пропуски във времето между действията на потребителите, за да заменят легитимните елементи на потребителския интерфейс с измамни такива в един миг.

Това разкриване следва по-ранно разкритие за фалшифициране на кръстосани прозорци (извличане на жестове), друг вариант на кликване. Тази техника убеждава потребителите да натискат или задържат клавиши като Enter или Space на компрометиран сайт, инициирайки нежелани действия.

На платформи като Coinbase и Yahoo!, нападателите могат да използват отвличане на жестове, за да откраднат акаунти. Ако влязъл потребител посети опасен уебсайт и натисне Enter или Space, той може несъзнателно да упълномощи измамно OAuth приложение. Това е възможно, защото и двете платформи позволяват на OAuth приложенията да изискват широк достъп и да присвояват предвидими, статични идентификатори на бутоните за оторизация, което ги прави податливи на експлоатация.

Тъй като методите за щракване продължават да се развиват, екипите по сигурността трябва да приемат проактивни защити, за да предпазят потребителските взаимодействия от все по-сложни заплахи.