मल्टी-लाइसेंस छूट उद्धरण
मुद्दा DoubleClickjacking Exploit

DoubleClickjacking Exploit

Mezo से मुद्दा तक
अनुवाद करने के लिए:
हिन्दी

खतरे के विश्लेषकों ने समय-आधारित कमज़ोरियों के एक नए पहचाने गए वर्ग का पता लगाया है जो कई महत्वपूर्ण वेबसाइटों पर क्लिकजैकिंग हमलों और अनधिकृत खाता पहुँच को सक्षम करने के लिए डबल-क्लिक अनुक्रम का फायदा उठाता है। डबलक्लिकजैकिंग नामक यह तकनीक यूआई हेरफेर के लिए एक नया दृष्टिकोण पेश करती है जो मौजूदा सुरक्षा उपायों को दरकिनार कर देती है।

क्लिकजैकिंग के लिए एक नया दृष्टिकोण

पारंपरिक क्लिकजैकिंग विधियों के विपरीत जो एक उपयोगकर्ता क्लिक पर निर्भर करती हैं, डबलक्लिकजैकिंग दो लगातार क्लिक के बीच संक्षिप्त देरी का लाभ उठाती है। हालांकि यह एक मामूली बदलाव की तरह लग सकता है, यह प्रभावी रूप से X-Frame-Options हेडर और SameSite: Lax/Strict कुकी सेटिंग्स जैसी सुरक्षा को बायपास करता है।

क्लिकजैकिंग, जिसे यूआई रिड्रेसिंग के रूप में भी जाना जाता है, उपयोगकर्ताओं को उन तत्वों के साथ बातचीत करने के लिए धोखा देता है जिन्हें वे हानिरहित मानते हैं - जैसे बटन - केवल अनपेक्षित क्रियाओं को ट्रिगर करने के लिए, जिसमें डेटा एक्सफ़िलट्रेशन या सुरक्षा उल्लंघन शामिल हैं। डबलक्लिकजैकिंग क्लिक के बीच के अंतराल का फायदा उठाकर इस अवधारणा को परिष्कृत करता है, जिससे हमलावरों को सुरक्षा नियंत्रणों को ओवरराइड करने और न्यूनतम उपयोगकर्ता भागीदारी के साथ खातों को हाईजैक करने की अनुमति मिलती है।

हमला कैसे काम करता है?

यह तकनीक निम्नलिखित क्रम में सामने आती है:

  • जब कोई उपयोगकर्ता किसी धोखाधड़ी वाली वेबसाइट पर जाता है तो या तो स्वचालित रूप से एक नया ब्राउज़र टैब खुल जाता है या फिर उसे ऐसा करने के लिए प्रेरित करता है।
  • यह नई विंडो, जो नियमित CAPTCHA सत्यापन के रूप में दिखाई देती है, उपयोगकर्ता को डबल-क्लिक करने का निर्देश देती है।
  • जैसे ही डबल-क्लिक होता है, मूल साइट चुपके से एक दुर्भावनापूर्ण पृष्ठ पर रीडायरेक्ट हो जाती है - जैसे कि OAuth प्राधिकरण अनुरोध।
  • इसके साथ ही, पॉप-अप विंडो बंद हो जाती है, जिससे उपयोगकर्ता अनजाने में मूल साइट पर एक महत्वपूर्ण अनुमति अनुरोध को स्वीकृत कर देता है।

चूंकि अधिकांश वेब सुरक्षा बचाव केवल एकल जबरन क्लिक का प्रतिकार करने के लिए डिज़ाइन किए गए हैं, इसलिए यह विधि प्रभावी रूप से पारंपरिक सुरक्षा उपायों को दरकिनार कर देती है। X-Frame-Options, SameSite कुकीज़ और सामग्री सुरक्षा नीति (CSP) जैसे उपाय इस खतरे को कम नहीं कर सकते हैं।

निवारक उपाय और दीर्घकालिक समाधान

इस समस्या को हल करने के लिए, वेबसाइट डेवलपर्स क्लाइंट-साइड सुरक्षा लागू कर सकते हैं जो उपयोगकर्ता द्वारा शुरू किए गए माउस मूवमेंट या कुंजी दबाने का पता चलने तक आवश्यक कार्रवाई बटन को अक्षम कर देते हैं। ड्रॉपबॉक्स सहित कुछ प्लेटफ़ॉर्म पहले से ही अनधिकृत इंटरैक्शन को रोकने के लिए ऐसे रक्षात्मक तंत्रों को नियोजित करते हैं।

दीर्घकालिक समाधान के रूप में, सुरक्षा विशेषज्ञ यह सुझाव देते हैं कि ब्राउज़र विक्रेता डबल-क्लिक-आधारित हमलों को प्रभावी ढंग से कम करने के लिए एक्स-फ्रेम-ऑप्शंस जैसे नए मानक स्थापित करें।

क्लिकजैकिंग पर एक नया मोड़

डबलक्लिकजैकिंग अच्छी तरह से प्रलेखित क्लिकजैकिंग तकनीकों का एक विकास है, जो उपयोगकर्ता क्रियाओं के बीच सूक्ष्म समय अंतराल का फायदा उठाकर, एक पल में वैध यूआई तत्वों को भ्रामक तत्वों से बदल देता है।

यह खुलासा क्रॉस-विंडो जालसाजी (जेस्चर-जैकिंग) के पहले के खुलासे के बाद हुआ है, जो क्लिकजैकिंग का एक और प्रकार है। यह तकनीक उपयोगकर्ताओं को किसी समझौता किए गए साइट पर एंटर या स्पेस जैसी कुंजी दबाने या दबाए रखने के लिए प्रेरित करती है, जिससे अनपेक्षित क्रियाएं शुरू हो जाती हैं।

कॉइनबेस और याहू जैसे प्लेटफ़ॉर्म पर, हमलावर खातों को हाईजैक करने के लिए जेस्चर-जैकिंग का लाभ उठा सकते हैं। यदि कोई लॉग-इन उपयोगकर्ता किसी असुरक्षित वेबसाइट पर जाता है और एंटर या स्पेस दबाता है, तो वह अनजाने में किसी दुष्ट OAuth एप्लिकेशन को अधिकृत कर सकता है। यह इसलिए संभव है क्योंकि दोनों प्लेटफ़ॉर्म OAuth एप्लिकेशन को व्यापक पहुँच का अनुरोध करने और प्राधिकरण बटनों को पूर्वानुमानित, स्थिर पहचानकर्ता असाइन करने की अनुमति देते हैं, जिससे उनका शोषण होने की संभावना बढ़ जाती है।

चूंकि क्लिकजैकिंग के तरीके लगातार विकसित हो रहे हैं, इसलिए सुरक्षा टीमों को तेजी से बढ़ते परिष्कृत खतरों से उपयोगकर्ता इंटरैक्शन की सुरक्षा के लिए सक्रिय बचाव अपनाना होगा।

लोड हो रहा है...