Εκπτωτική προσφορά πολλαπλών αδειών
Ζήτημα DoubleClickjacking Exploit

DoubleClickjacking Exploit

Μέχρι το Mezo το Ζήτημα
Μετάφραση σε:
Ελληνικά

Οι αναλυτές απειλών ανακάλυψαν μια νέα κατηγορία τρωτών σημείων που βασίζονται στο χρονοδιάγραμμα που εκμεταλλεύεται μια ακολουθία διπλού κλικ για να ενεργοποιήσει επιθέσεις clickjacking και μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς σε πολλούς σημαντικούς ιστότοπους. Αυτή η τεχνική, που ονομάζεται DoubleClickjacking, εισάγει μια νέα προσέγγιση στον χειρισμό της διεπαφής χρήστη που παρακάμπτει τα υπάρχοντα μέτρα ασφαλείας.

Μια νέα προσέγγιση στο Clickjacking

Σε αντίθεση με τις παραδοσιακές μεθόδους clickjacking που βασίζονται σε ένα μόνο κλικ χρήστη, το DoubleClickjacking αξιοποιεί τη σύντομη καθυστέρηση μεταξύ δύο διαδοχικών κλικ. Αν και αυτό μπορεί να φαίνεται σαν μια μικρή αλλαγή, παρακάμπτει αποτελεσματικά προστασίες όπως η κεφαλίδα X-Frame-Options και οι ρυθμίσεις cookie SameSite: Lax/Strict.

Το Clickjacking, γνωστό και ως επανόρθωση διεπαφής χρήστη, παραπλανά τους χρήστες να αλληλεπιδρούν με στοιχεία που θεωρούν αβλαβή —όπως κουμπιά— μόνο για να ενεργοποιήσουν ακούσιες ενέργειες, συμπεριλαμβανομένης της διείσδυσης δεδομένων ή παραβιάσεων ασφάλειας. Το DoubleClickjacking βελτιώνει αυτήν την έννοια, εκμεταλλευόμενη το διάστημα μεταξύ των κλικ, επιτρέποντας στους εισβολείς να παρακάμπτουν τα στοιχεία ελέγχου ασφαλείας και να παραβιάζουν λογαριασμούς με ελάχιστη συμμετοχή χρηστών.

Πώς λειτουργεί η επίθεση

Η τεχνική εκτυλίσσεται με την ακόλουθη σειρά:

  • Ένας χρήστης επισκέπτεται έναν δόλιο ιστότοπο που είτε ανοίγει αυτόματα μια νέα καρτέλα προγράμματος περιήγησης είτε του ζητά να το κάνουν.
  • Αυτό το νέο παράθυρο, το οποίο μπορεί να εμφανίζεται ως επαλήθευση ρουτίνας CAPTCHA, δίνει οδηγίες στον χρήστη να κάνει διπλό κλικ.
  • Καθώς συμβαίνει το διπλό κλικ, ο αρχικός ιστότοπος ανακατευθύνεται κρυφά σε μια κακόβουλη σελίδα—όπως ένα αίτημα εξουσιοδότησης OAuth.
  • Ταυτόχρονα, το αναδυόμενο παράθυρο κλείνει, οδηγώντας τον χρήστη να εγκρίνει ένα κρίσιμο αίτημα άδειας στον αρχικό ιστότοπο χωρίς να το γνωρίζει.

Δεδομένου ότι οι περισσότερες άμυνες ασφαλείας Ιστού έχουν σχεδιαστεί για να εξουδετερώνουν μόνο μεμονωμένα αναγκαστικά κλικ, αυτή η μέθοδος παρακάμπτει αποτελεσματικά τις συμβατικές διασφαλίσεις. Μέτρα όπως το X-Frame-Options, τα cookies SameSite και η Πολιτική Ασφάλειας Περιεχομένου (CSP) δεν μπορούν να μετριάσουν αυτήν την απειλή.

Προληπτικά Μέτρα και Μακροπρόθεσμες Λύσεις

Για την αντιμετώπιση αυτού του ζητήματος, οι προγραμματιστές ιστοτόπων μπορούν να εφαρμόσουν προστασίες από την πλευρά του πελάτη που απενεργοποιούν τα βασικά κουμπιά ενεργειών, εκτός εάν εντοπιστεί κίνηση του ποντικιού ή πάτημα πλήκτρων που εκκινεί ο χρήστης. Ορισμένες πλατφόρμες, συμπεριλαμβανομένου του Dropbox, χρησιμοποιούν ήδη τέτοιους αμυντικούς μηχανισμούς για την πρόληψη μη εξουσιοδοτημένων αλληλεπιδράσεων.

Ως μακροπρόθεσμη λύση, οι ειδικοί ασφαλείας συνιστούν στους προμηθευτές του προγράμματος περιήγησης να θεσπίσουν νέα πρότυπα παρόμοια με το X-Frame-Options για να μετριάσουν αποτελεσματικά τις επιθέσεις που βασίζονται σε διπλό κλικ.

Μια νέα ανατροπή στο Clickjacking

Το DoubleClickjacking είναι μια εξέλιξη των καλά τεκμηριωμένων τεχνικών clickjacking, που εκμεταλλεύονται τα λεπτά χρονικά κενά μεταξύ των ενεργειών των χρηστών για την εναλλαγή των νόμιμων στοιχείων διεπαφής χρήστη με παραπλανητικά στοιχεία σε μια στιγμή.

Αυτή η αποκάλυψη ακολουθεί μια προηγούμενη αποκάλυψη πλαστογραφίας μεταξύ παραθύρων (gesture-jacking), μιας άλλης παραλλαγής clickjacking. Αυτή η τεχνική πείθει τους χρήστες να πατήσουν ή να κρατήσουν πατημένα πλήκτρα όπως το Enter ή το Space σε έναν παραβιασμένο ιστότοπο, ξεκινώντας ακούσιες ενέργειες.

Σε πλατφόρμες όπως το Coinbase και το Yahoo!, οι επιτιθέμενοι θα μπορούσαν να αξιοποιήσουν το jacking με χειρονομίες για να παραβιάσουν λογαριασμούς. Εάν ένας συνδεδεμένος χρήστης επισκεφτεί έναν μη ασφαλή ιστότοπο και πατήσει Enter ή Space, θα μπορούσε εν αγνοία του να εξουσιοδοτήσει μια αδίστακτη εφαρμογή OAuth. Αυτό είναι δυνατό επειδή και οι δύο πλατφόρμες επιτρέπουν στις εφαρμογές OAuth να ζητούν ευρεία πρόσβαση και να εκχωρούν προβλέψιμα, στατικά αναγνωριστικά σε κουμπιά εξουσιοδότησης, καθιστώντας τες επιρρεπείς σε εκμετάλλευση.

Καθώς οι μέθοδοι clickjacking συνεχίζουν να εξελίσσονται, οι ομάδες ασφαλείας πρέπει να υιοθετήσουν προληπτικές άμυνες για να προστατεύσουν τις αλληλεπιδράσεις των χρηστών από ολοένα και πιο εξελιγμένες απειλές.

Φόρτωση...