הצעת הנחה מרובה רישיונות
לְהַנפִּיק ניצול DoubleClickjacking

ניצול DoubleClickjacking

עד Mezo ב-לְהַנפִּיק
לתרגם ל:
עברית

מנתחי איומים חשפו סוג חדש שזוהה של פגיעויות מבוססות תזמון המנצל רצף לחיצה כפולה כדי לאפשר התקפות חטיפת קליקים וגישה לא מורשית לחשבון במספר אתרים משמעותיים. טכניקה זו, המכונה DoubleClickjacking, מציגה גישה חדשה למניפולציה של ממשק המשתמש שעוקפת אמצעי אבטחה קיימים.

גישה חדשה לחטיפת קליקים

שלא כמו שיטות גניבת קליקים מסורתיות המסתמכות על קליק אחד של משתמש, DoubleClickjacking ממנפת את ההשהיה הקצרה בין שתי לחיצות עוקבות. למרות שזה עשוי להיראות כמו שינוי קטן, זה למעשה עוקף הגנות כמו הכותרת X-Frame-Options והגדרות SameSite: Lax/Strict cookie.

חטיפת קליקים, הידועה גם כתיקון ממשק משתמש, מרמה את המשתמשים ליצירת אינטראקציה עם אלמנטים שהם תופסים כבלתי מזיקים - כגון כפתורים - רק כדי להפעיל פעולות לא מכוונות, כולל חילוץ נתונים או פרצות אבטחה. DoubleClickjacking משכלל מושג זה על ידי ניצול המרווח בין קליקים, ומאפשר לתוקפים לעקוף את בקרות האבטחה ולחטוף חשבונות עם מעורבות מינימלית של המשתמש.

כיצד פועלת המתקפה

הטכניקה מתפתחת ברצף הבא:

  • משתמש מבקר באתר הונאה שפותח כרטיסיית דפדפן חדשה באופן אוטומטי או שמבקש ממנו לעשות זאת.
  • חלון חדש זה, שעשוי להופיע כאימות CAPTCHA שגרתי, מורה למשתמש ללחוץ פעמיים.
  • כשהקליק הכפול מתרחש, האתר המקורי מפנה מחדש בחשאי לדף זדוני - כגון בקשת הרשאת OAuth.
  • במקביל, החלון המוקפץ נסגר, מה שמוביל את המשתמש לאשר בקשת הרשאה קריטית באתר המקורי מבלי לדעת.

מכיוון שרוב הגנות האבטחה באינטרנט נועדו לנטרל רק קליקים מאולצים בודדים, שיטה זו עוקפת למעשה אמצעי הגנה קונבנציונליים. אמצעים כגון X-Frame-Options, קובצי Cookie של SameSite ומדיניות אבטחת תוכן (CSP) אינם יכולים להפחית את האיום הזה.

אמצעי מניעה ופתרונות ארוכי טווח

כדי לטפל בבעיה זו, מפתחי אתרים יכולים ליישם הגנות בצד הלקוח המשביתות לחצני פעולה חיוניים אלא אם מזוהה תנועת עכבר ביוזמת המשתמש או לחיצה על מקש. חלק מהפלטפורמות, כולל Dropbox, כבר משתמשות במנגנוני הגנה כאלה כדי למנוע אינטראקציות לא מורשות.

כפתרון לטווח ארוך, מומחי אבטחה ממליצים לספקי דפדפנים להקים סטנדרטים חדשים הדומים ל-X-Frame-Options כדי לצמצם התקפות מבוססות קליקים כפולים ביעילות.

טוויסט חדש ב-Clickjacking

DoubleClickjacking היא אבולוציה של טכניקות חטיפת קליקים מתועדות היטב, תוך ניצול פערי תזמון עדינים בין פעולות המשתמש כדי להחליף אלמנטים לגיטימיים של ממשק המשתמש באלמנטים מטעים ברגע.

חשיפה זו באה בעקבות חשיפה מוקדמת יותר של זיוף חלונות צולבים (ג'סטה-jacking), גרסה נוספת של חטיפת קליקים. הטכניקה הזו משכנעת משתמשים ללחוץ או להחזיק מקשים כמו Enter או Space באתר שנפגע, וליזום פעולות לא מכוונות.

בפלטפורמות כמו Coinbase ו-Yahoo!, התוקפים יכולים למנף חטיפת מחוות כדי לחטוף חשבונות. אם משתמש מחובר מבקר באתר אינטרנט לא בטוח ולוחץ על Enter או על רווח, הוא עלול לאשר יישום OAuth נוכל שלא ביודעין. זה אפשרי מכיוון ששתי הפלטפורמות מאפשרות ליישומי OAuth לבקש גישה רחבה ולהקצות מזהים ניתנים לחיזוי וסטטיים ללחצני ההרשאה, מה שהופך אותם רגישים לניצול.

ככל ששיטות חטיפת הקליקים ממשיכות להתפתח, צוותי אבטחה חייבים לאמץ הגנות פרואקטיביות כדי להגן על אינטראקציות של משתמשים מפני איומים שהולכים ומתוחכמים.

טוען...