Eksploatacija DoubleClickjackinga
Analitičari prijetnji otkrili su novoidentificiranu klasu ranjivosti temeljenih na vremenu koje iskorištavaju sekvencu dvostrukog klika kako bi omogućile napade clickjackinga i neovlašteni pristup računu na brojnim značajnim web stranicama. Ova tehnika, nazvana DoubleClickjacking, uvodi novi pristup manipulaciji korisničkim sučeljem koji zaobilazi postojeće sigurnosne mjere.
Sadržaj
Novi pristup Clickjackingu
Za razliku od tradicionalnih metoda clickjackinga koje se oslanjaju na jedan klik korisnika, DoubleClickjacking iskorištava kratku odgodu između dva uzastopna klika. Iako se ovo može činiti kao manji pomak, učinkovito zaobilazi zaštite kao što su zaglavlje X-Frame-Options i postavke kolačića SameSite: Lax/Strict.
Clickjacking, poznat i kao preoblikovanje korisničkog sučelja, vara korisnike da stupe u interakciju s elementima koje smatraju bezopasnima, poput gumba, samo kako bi pokrenuli nenamjerne radnje, uključujući krađu podataka ili proboje sigurnosti. DoubleClickjacking dorađuje ovaj koncept iskorištavanjem intervala između klikova, dopuštajući napadačima da zaobiđu sigurnosne kontrole i otmu račune uz minimalno sudjelovanje korisnika.
Kako funkcionira napad
Tehnika se razvija u sljedećem nizu:
- Korisnik posjećuje lažnu web stranicu koja automatski otvara novu karticu preglednika ili ga to traži.
- Ovaj novi prozor, koji se može pojaviti kao rutinska CAPTCHA provjera, upućuje korisnika da dvaput klikne.
- Dok dolazi do dvostrukog klika, izvorna web-lokacija potajno preusmjerava na zlonamjernu stranicu—kao što je OAuth zahtjev za autorizaciju.
- Istovremeno se zatvara skočni prozor, što navodi korisnika da nesvjesno odobri zahtjev za kritičnim dopuštenjem na izvornom mjestu.
Budući da je većina sigurnosnih obrana na webu dizajnirana za suzbijanje samo pojedinačnih prisilnih klikova, ova metoda učinkovito zaobilazi konvencionalne mjere zaštite. Mjere kao što su X-Frame-Options, SameSite kolačići i Content Security Policy (CSP) ne mogu ublažiti ovu prijetnju.
Preventivne mjere i dugoročna rješenja
Kako bi riješili ovaj problem, programeri web-mjesta mogu implementirati zaštitu na strani klijenta koja onemogućuje bitne akcijske gumbe osim ako se ne detektira pomicanje miša ili pritisak tipke koje pokreće korisnik. Neke platforme, uključujući Dropbox, već koriste takve obrambene mehanizme za sprječavanje neovlaštenih interakcija.
Kao dugoročno rješenje, stručnjaci za sigurnost preporučuju da dobavljači preglednika uspostave nove standarde slične X-Frame-Options kako bi učinkovito ublažili napade temeljene na dvostrukom kliku.
Novi zaokret u Clickjackingu
DoubleClickjacking je evolucija dobro dokumentiranih tehnika clickjackinga, iskorištavajući suptilne vremenske nedostatke između radnji korisnika kako bi se legitimni elementi korisničkog sučelja u trenu zamijenili varljivima.
Ovo otkrivanje slijedi nakon ranijeg otkrića krivotvorenja preko prozora (gesture-jacking), još jedne varijante clickjackinga. Ta tehnika uvjerava korisnike da pritisnu ili drže tipke kao što su Enter ili Space na kompromitiranom mjestu, pokrećući nenamjerne radnje.
Na platformama kao što su Coinbase i Yahoo!, napadači bi mogli iskoristiti otimanje računa kako bi oteli račune. Ako prijavljeni korisnik posjeti nesigurnu web stranicu i pritisne Enter ili Space, mogao bi nesvjesno autorizirati lažnu OAuth aplikaciju. To je moguće jer obje platforme dopuštaju OAuth aplikacijama da zahtijevaju široki pristup i dodjeljuju predvidljive, statične identifikatore gumbima za autorizaciju, čineći ih podložnima iskorištavanju.
Kako se metode clickjackinga nastavljaju razvijati, sigurnosni timovi moraju usvojiti proaktivnu obranu kako bi zaštitili korisničke interakcije od sve sofisticiranijih prijetnji.