DoubleClickjacking Exploit
Ohuanalüütikud on avastanud äsja tuvastatud ajastuspõhiste haavatavuste klassi, mis kasutab topeltklõpsu jada, et võimaldada klõpsamisrünnakuid ja volitamata juurdepääsu kontodele paljudel olulistel veebisaitidel. See meetod, mida nimetatakse DoubleClickjackinguks, tutvustab uudset lähenemisviisi kasutajaliidese manipuleerimisele, mis hoiab kõrvale olemasolevatest turvameetmetest.
Sisukord
Uus lähenemine klikkide röövimisele
Erinevalt tavapärastest klikkide äravõtmise meetoditest, mis põhinevad ühel kasutaja klõpsul, kasutab DoubleClickjacking kahe järjestikuse kliki vahelist lühikest viivitust. Kuigi see võib tunduda väikese nihkena, läheb see tõhusalt mööda sellistest kaitsetest nagu X-Frame-Options päis ja SameSite: Lax/Strict küpsiseseaded.
Klikkide ärakasutamine, tuntud ka kui kasutajaliidese parandamine, petab kasutajaid suhtlema elementidega, mida nad peavad kahjutuks (nt nupud), ainult selleks, et käivitada soovimatuid toiminguid, sealhulgas andmete väljafiltreerimist või turvarikkumisi. DoubleClickjacking täpsustab seda kontseptsiooni, kasutades ära klikkide vahelist intervalli, võimaldades ründajatel alistada turvakontrolli ja kaaperdada kontosid minimaalse kasutaja sekkumisega.
Kuidas rünnak töötab
Tehnika areneb järgmises järjestuses:
- Kasutaja külastab petturlikku veebisaiti, mis avab automaatselt uue brauseri vahekaardi või palub tal seda teha.
- See uus aken, mis võib ilmuda tavapärase CAPTCHA kinnitusena, juhendab kasutajat topeltklõpsama.
- Topeltklõpsu tegemisel suunab algne sait vargsi ümber pahatahtlikule lehele, näiteks OAuthi autoriseerimistaotlusele.
- Samal ajal sulgub hüpikaken, mille tulemusena kiidab kasutaja teadmatult heaks algse saidi kriitilise loataotluse.
Kuna enamik veebiturvalisuse kaitsemehhanisme on loodud vaid üksikute sundklõpsude vastu võitlemiseks, läheb see meetod tavapärastest kaitsemeetmetest tõhusalt mööda. Sellised meetmed nagu X-Frame-Options, SameSite'i küpsised ja sisuturbepoliitika (CSP) ei suuda seda ohtu leevendada.
Ennetavad meetmed ja pikaajalised lahendused
Selle probleemi lahendamiseks saavad veebisaitide arendajad rakendada kliendipoolseid kaitsemeetmeid, mis keelavad olulised toimingunupud, välja arvatud juhul, kui tuvastatakse kasutaja algatatud hiire liigutust või klahvivajutust. Mõned platvormid, sealhulgas Dropbox, kasutavad juba selliseid kaitsemehhanisme, et vältida volitamata suhtlemist.
Pikaajalise lahendusena soovitavad turbeeksperdid brauseritootjatel kehtestada uued standardid, mis sarnanevad X-Frame-Optionsiga, et leevendada tõhusalt topeltklõpsuga rünnakuid.
Uus pööre klikkide äravõtmisel
DoubleClickjacking on hästi dokumenteeritud klõpsamistehnikate edasiarendus, mis kasutab kasutaja toimingute vahelisi peeneid ajavahesid, et vahetada õiged kasutajaliidese elemendid hetkega petlike vastu.
See avalikustamine järgneb varasemale akendeülese võltsimise (žest-jacking) paljastamisele, mis on veel üks klõpsamise variant. See meetod veenab kasutajaid ohustatud saidil vajutama või hoidma all klahve, näiteks sisestusklahvi või tühikut, käivitades soovimatuid toiminguid.
Sellistel platvormidel nagu Coinbase ja Yahoo! võivad ründajad kontode kaaperdamiseks kasutada žestide äravõtmist. Kui sisselogitud kasutaja külastab ebaturvalist veebisaiti ja vajutab sisestusklahvi või tühikut, võib ta teadmata volitada võltsitud OAuthi rakendust. See on võimalik, kuna mõlemad platvormid võimaldavad OAuthi rakendustel taotleda laialdast juurdepääsu ja määrata autoriseerimisnuppudele etteaimatavad, staatilised identifikaatorid, muutes need vastuvõtlikuks.
Kuna klõpsamismeetodid arenevad edasi, peavad turvameeskonnad kasutama ennetavaid kaitsemeetmeid, et kaitsta kasutajate suhtlemist üha keerukamate ohtude eest.