DoubleClickjacking Exploit
Analytici hrozeb odhalili nově identifikovanou třídu zranitelností založených na načasování, která využívá sekvenci dvojitého kliknutí k umožnění útoků typu clickjacking a neoprávněného přístupu k účtu na mnoha významných webových stránkách. Tato technika, nazývaná DoubleClickjacking, představuje nový přístup k manipulaci s uživatelským rozhraním, který obchází stávající bezpečnostní opatření.
Obsah
Nový přístup ke Clickjackingu
Na rozdíl od tradičních metod clickjackingu, které spoléhají na jediné kliknutí uživatele, využívá DoubleClickjacking krátkou prodlevu mezi dvěma po sobě jdoucími kliknutími. I když se to může zdát jako drobný posun, účinně obchází ochrany, jako je hlavička X-Frame-Options a nastavení souborů cookie SameSite: Lax/Strict.
Clickjacking, také známý jako UI redressing, klame uživatele k interakci s prvky, které vnímají jako neškodné – jako jsou tlačítka – pouze za účelem spuštění nezamýšlených akcí, včetně úniku dat nebo narušení bezpečnosti. DoubleClickjacking tento koncept zdokonaluje využíváním intervalu mezi kliknutími, což útočníkům umožňuje přepsat bezpečnostní kontroly a unést účty s minimálním zapojením uživatelů.
Jak útok funguje
Technika se vyvíjí v následujícím pořadí:
- Uživatel navštíví podvodnou webovou stránku, která buď automaticky otevře novou kartu prohlížeče, nebo jej k tomu vyzve.
- Toto nové okno, které se může objevit jako rutinní ověření CAPTCHA, dává uživateli pokyn, aby dvakrát kliknul.
- Jakmile dojde k dvojitému kliknutí, původní web se tajně přesměruje na škodlivou stránku – například požadavek na autorizaci OAuth.
- Současně se vyskakovací okno zavře, což vede uživatele ke schválení kritické žádosti o povolení na původním webu nevědomky.
Protože většina webových bezpečnostních obran je navržena tak, aby čelila pouze jednotlivým vynuceným kliknutím, tato metoda účinně obchází konvenční zabezpečení. Opatření jako X-Frame-Options, soubory cookie SameSite a zásady zabezpečení obsahu (CSP) nemohou tuto hrozbu zmírnit.
Preventivní opatření a dlouhodobá řešení
K vyřešení tohoto problému mohou vývojáři webových stránek implementovat ochranu na straně klienta, která deaktivuje základní akční tlačítka, pokud není detekován pohyb myši nebo stisknutí klávesy uživatelem. Některé platformy, včetně Dropboxu, již takové obranné mechanismy využívají, aby zabránily neoprávněným interakcím.
Bezpečnostní experti jako dlouhodobé řešení doporučují, aby dodavatelé prohlížečů zavedli nové standardy podobné X-Frame-Options, aby efektivně zmírnili útoky založené na dvojitém kliknutí.
Nový Twist na Clickjacking
DoubleClickjacking je evolucí dobře zdokumentovaných technik clickjackingu, který využívá jemné časové mezery mezi akcemi uživatelů k okamžité záměně legitimních prvků uživatelského rozhraní za ty klamavé.
Toto odhalení následuje po dřívějším odhalení falšování přes okno (gesture-jacking), další varianta clickjackingu. Tato technika přesvědčuje uživatele, aby na napadeném webu stiskli nebo podrželi klávesy, jako je Enter nebo Space, a iniciovali tak nechtěné akce.
Na platformách, jako je Coinbase a Yahoo!, by útočníci mohli využít gesta-jacking k únosu účtů. Pokud přihlášený uživatel navštíví nebezpečnou webovou stránku a stiskne klávesu Enter nebo mezerník, mohl by nevědomky autorizovat podvodnou aplikaci OAuth. To je možné, protože obě platformy umožňují aplikacím OAuth požadovat široký přístup a přiřazovat předvídatelné, statické identifikátory autorizačním tlačítkům, což je činí náchylnými ke zneužití.
Protože metody clickjackingu se neustále vyvíjejí, bezpečnostní týmy musí přijmout proaktivní obranu, aby chránily interakce uživatelů před stále sofistikovanějšími hrozbami.