DoubleClickjacking udnyttelse
Trusselsanalytikere har afsløret en nyligt identificeret klasse af timing-baserede sårbarheder, der udnytter en dobbeltkliksekvens til at muliggøre clickjacking-angreb og uautoriseret kontoadgang på tværs af adskillige vigtige websteder. Denne teknik, kaldet DoubleClickjacking, introducerer en ny tilgang til UI-manipulation, der omgår eksisterende sikkerhedsforanstaltninger.
Indholdsfortegnelse
En ny tilgang til clickjacking
I modsætning til traditionelle clickjacking-metoder, der er afhængige af et enkelt brugerklik, udnytter DoubleClickjacking den korte forsinkelse mellem to på hinanden følgende klik. Selvom dette kan virke som et mindre skift, omgår det effektivt beskyttelser såsom X-Frame-Options-headeren og SameSite: Lax/Strict cookie-indstillinger.
Clickjacking, også kendt som UI-redressing, bedrager brugere til at interagere med elementer, de opfatter som harmløse – såsom knapper – kun for at udløse utilsigtede handlinger, herunder dataeksfiltrering eller sikkerhedsbrud. DoubleClickjacking forfiner dette koncept ved at udnytte intervallet mellem klik, hvilket giver hackere mulighed for at tilsidesætte sikkerhedskontrol og kapre konti med minimal brugerinvolvering.
Hvordan angrebet fungerer
Teknikken udfolder sig i følgende rækkefølge:
- En bruger besøger et svigagtigt websted, der enten automatisk åbner en ny browserfane eller beder dem om at gøre det.
- Dette nye vindue, som muligvis vises som en rutinemæssig CAPTCHA-verifikation, instruerer brugeren om at dobbeltklikke.
- Efterhånden som dobbeltklikket finder sted, omdirigerer det originale websted snildt til en ondsindet side - såsom en OAuth-godkendelsesanmodning.
- Samtidig lukkes pop-up-vinduet, hvilket fører til, at brugeren ubevidst godkender en kritisk tilladelsesanmodning på det originale websted.
Da de fleste websikkerhedsforsvar er designet til kun at modvirke enkelte tvungne klik, omgår denne metode effektivt konventionelle sikkerhedsforanstaltninger. Foranstaltninger såsom X-Frame-Options, SameSite-cookies og Content Security Policy (CSP) kan ikke afbøde denne trussel.
Forebyggende foranstaltninger og langsigtede løsninger
For at løse dette problem kan webstedsudviklere implementere beskyttelse på klientsiden, der deaktiverer vigtige handlingsknapper, medmindre en brugerinitieret musebevægelse eller et tastetryk detekteres. Nogle platforme, herunder Dropbox, anvender allerede sådanne defensive mekanismer for at forhindre uautoriserede interaktioner.
Som en langsigtet løsning anbefaler sikkerhedseksperter, at browserleverandører etablerer nye standarder svarende til X-Frame-Options for effektivt at afbøde dobbeltklik-baserede angreb.
Et nyt twist på Clickjacking
DoubleClickjacking er en udvikling af veldokumenterede clickjacking-teknikker, der udnytter subtile tidsforskelle mellem brugerhandlinger for at udskifte legitime UI-elementer med vildledende elementer på et øjeblik.
Denne afsløring følger en tidligere afsløring af forfalskning på tværs af vinduer (gesture-jacking), en anden clickjacking-variant. Denne teknik overtaler brugerne til at trykke på eller holde taster som Enter eller Space på et kompromitteret websted, hvilket starter utilsigtede handlinger.
På platforme som Coinbase og Yahoo! kunne angribere udnytte gestus-jacking til at kapre konti. Hvis en logget ind bruger besøger et usikkert websted og trykker på Enter eller Space, kan de ubevidst autorisere en slyngel OAuth-applikation. Dette er muligt, fordi begge platforme tillader OAuth-applikationer at anmode om bred adgang og tildele forudsigelige, statiske identifikatorer til autorisationsknapper, hvilket gør dem modtagelige for udnyttelse.
I takt med at clickjacking-metoder fortsætter med at udvikle sig, skal sikkerhedsteams vedtage proaktive forsvar for at beskytte brugerinteraktioner mod stadig mere sofistikerede trusler.