Cotització de descompte per a múltiples llicències
Problema Explotació de DoubleClickjacking

Explotació de DoubleClickjacking

El Mezo el Problema
Traduir a:
Català

Els analistes d'amenaces han descobert una classe recentment identificada de vulnerabilitats basades en el temps que explota una seqüència de doble clic per permetre els atacs de clic i l'accés no autoritzat al compte a nombrosos llocs web importants. Aquesta tècnica, anomenada DoubleClickjacking, introdueix un nou enfocament de la manipulació de la interfície d'usuari que eludeix les mesures de seguretat existents.

Un nou enfocament del Clickjacking

A diferència dels mètodes tradicionals de clics que depenen d'un sol clic d'usuari, DoubleClickjacking aprofita el breu retard entre dos clics consecutius. Tot i que això pot semblar un canvi menor, evita de manera efectiva proteccions com la capçalera X-Frame-Options i la configuració de galetes SameSite: Lax/Strict.

Clickjacking, també conegut com a reparació de la interfície d'usuari, enganya els usuaris perquè interaccionin amb elements que perceben com a inofensius, com ara botons, només per activar accions no desitjades, com ara l'exfiltració de dades o les infraccions de seguretat. DoubleClickjacking perfecciona aquest concepte aprofitant l'interval entre clics, permetent als atacants anul·lar els controls de seguretat i segrestar comptes amb la mínima implicació dels usuaris.

Com funciona l’atac

La tècnica es desenvolupa en la següent seqüència:

  • Un usuari visita un lloc web fraudulent que obre automàticament una nova pestanya del navegador o li demana que ho faci.
  • Aquesta nova finestra, que pot aparèixer com una verificació rutinaria de CAPTCHA, indica a l'usuari que faci doble clic.
  • Quan es produeix el doble clic, el lloc original redirigeix de manera sigilosa a una pàgina maliciosa, com ara una sol·licitud d'autorització OAuth.
  • Simultàniament, la finestra emergent es tanca, el que porta l'usuari a aprovar una sol·licitud de permís crític al lloc original sense saber-ho.

Com que la majoria de les defenses de seguretat web estan dissenyades per contrarestar només els clics forçats únics, aquest mètode passa per alt les garanties convencionals. Mesures com ara X-Frame-Options, galetes de SameSite i Política de seguretat de contingut (CSP) no poden mitigar aquesta amenaça.

Mesures preventives i solucions a llarg termini

Per solucionar aquest problema, els desenvolupadors de llocs web poden implementar proteccions del costat del client que inhabiliten els botons d'acció essencials tret que es detecti un moviment del ratolí o la pressió de la tecla iniciada per l'usuari. Algunes plataformes, inclosa Dropbox, ja utilitzen aquests mecanismes defensius per evitar interaccions no autoritzades.

Com a solució a llarg termini, els experts en seguretat recomanen que els venedors de navegadors estableixin nous estàndards semblants a les opcions X-Frame per mitigar els atacs basats en doble clic de manera eficaç.

Un nou gir al Clickjacking

DoubleClickjacking és una evolució de les tècniques de clickjacking ben documentades, que aprofita els intervals temporals subtils entre les accions de l'usuari per intercanviar elements legítims de la interfície d'usuari amb altres enganyosos en un instant.

Aquesta divulgació segueix una revelació anterior de la falsificació de finestres creuades (gestu-jacking), una altra variant de clickjacking. Aquesta tècnica persuaix els usuaris de prémer o mantenir premudes tecles com Intro o Espai en un lloc compromès, iniciant accions no desitjades.

A plataformes com Coinbase i Yahoo!, els atacants podrien aprofitar els gestos per segrestar comptes. Si un usuari que ha iniciat sessió visita un lloc web no segur i prem Retorn o Espai, podria autoritzar sense saber-ho una aplicació d'OAuth canalla. Això és possible perquè ambdues plataformes permeten que les aplicacions OAuth sol·licitin un accés ampli i assignin identificadors previsibles i estàtics als botons d'autorització, cosa que els fa susceptibles d'explotació.

A mesura que els mètodes de clickjacking continuen evolucionant, els equips de seguretat han d'adoptar defenses proactives per protegir les interaccions dels usuaris d'amenaces cada cop més sofisticades.

Carregant...