Több licencre vonatkozó kedvezményes árajánlat
probléma DoubleClickjacking Exploit

DoubleClickjacking Exploit

Mezo -ra probléma-ben
Fordítás ide:
Magyar

A fenyegetéselemzők az időzítésen alapuló sebezhetőségek újonnan azonosított osztályát tárták fel, amely a dupla kattintás szekvenciáját használja ki, hogy lehetővé tegye a kattintás elleni támadásokat és az illetéktelen fiókhozzáférést számos jelentős webhelyen. Ez a DoubleClickjacking-nek nevezett technika a felhasználói felület manipulációjának újszerű megközelítését vezeti be, amely megkerüli a meglévő biztonsági intézkedéseket.

A Clickjacking új megközelítése

A hagyományos clickjacking módszerekkel ellentétben, amelyek egyetlen felhasználói kattintáson alapulnak, a DoubleClickjacking kihasználja a két egymást követő kattintás közötti rövid késleltetést. Bár ez apró változtatásnak tűnhet, hatékonyan megkerüli az olyan védelmeket, mint az X-Frame-Options fejléc és a SameSite: Lax/Strict cookie-beállítások.

A Clickjacking, más néven UI redressing, megtéveszti a felhasználókat, hogy az általuk ártalmatlannak tartott elemekkel – például gombokkal – interakcióba lépjenek, csak azért, hogy nem kívánt műveleteket indítsanak el, beleértve az adatok kiszűrését vagy a biztonsági megsértéseket. A DoubleClickjacking finomítja ezt a koncepciót azáltal, hogy kihasználja a kattintások közötti intervallumot, lehetővé téve a támadók számára, hogy felülírják a biztonsági vezérlőket és eltérítsék a fiókokat minimális felhasználói beavatkozás mellett.

Hogyan működik a támadás

A technika a következő sorrendben bontakozik ki:

  • A felhasználó meglátogat egy csaló webhelyet, amely vagy automatikusan megnyit egy új böngészőlapot, vagy erre kéri.
  • Ez az új ablak, amely rutin CAPTCHA-ellenőrzésként jelenhet meg, arra utasítja a felhasználót, hogy kattintson duplán.
  • Amikor a dupla kattintás megtörténik, az eredeti webhely lopva egy rosszindulatú oldalra irányít át – például egy OAuth-engedélyezési kérelemre.
  • Ezzel egyidejűleg az előugró ablak bezárul, ami arra készteti a felhasználót, hogy tudtán kívül hagyjon jóvá egy kritikus engedélykérést az eredeti webhelyen.

Mivel a legtöbb webes biztonsági védelmi eszközt úgy tervezték, hogy csak egyszeri kényszerkattintásokat ellensúlyozzon, ez a módszer hatékonyan megkerüli a hagyományos biztonsági intézkedéseket. Az olyan intézkedések, mint az X-Frame-Options, a SameSite cookie-k és a Content Security Policy (CSP) nem tudják enyhíteni ezt a fenyegetést.

Megelőző intézkedések és hosszú távú megoldások

A probléma megoldása érdekében a webhelyfejlesztők olyan kliensoldali védelmet alkalmazhatnak, amely letiltja az alapvető műveleti gombokat, kivéve, ha a felhasználó egérmozgást vagy billentyűlenyomást észlel. Egyes platformok, köztük a Dropbox, már alkalmaznak ilyen védekező mechanizmusokat a jogosulatlan interakciók megakadályozására.

Hosszú távú megoldásként a biztonsági szakértők azt javasolják, hogy a böngészőgyártók hozzanak létre új, az X-Frame-Options-hoz hasonló szabványokat a dupla kattintáson alapuló támadások hatékony mérséklése érdekében.

Új fordulat a Clickjacking-ben

A DoubleClickjacking a jól dokumentált kattintási technikák evolúciója, amely kihasználja a felhasználói műveletek közötti finom időzítési hézagokat, hogy egy pillanat alatt felcserélje a legitim UI-elemeket megtévesztő elemekre.

Ez a közzététel az ablakokon átívelő hamisítás (gesztus-jacking) korábbi feltárását követi, amely egy másik kattintásfeltörési változat. Ez a technika ráveszi a felhasználókat, hogy lenyomják vagy lenyomják az Enter vagy a Szóköz billentyűket egy feltört webhelyen, és ezzel nem kívánt műveleteket kezdeményezzenek.

Az olyan platformokon, mint a Coinbase és a Yahoo!, a támadók gesztusos feltörést használhatnak fel fiókok eltérítésére. Ha egy bejelentkezett felhasználó felkeres egy nem biztonságos webhelyet, és lenyomja az Enter vagy a szóköz billentyűt, akkor tudtukon kívül engedélyezhet egy csaló OAuth-alkalmazást. Ez azért lehetséges, mert mindkét platform lehetővé teszi az OAuth-alkalmazások számára, hogy széles körű hozzáférést kérjenek, és kiszámítható, statikus azonosítókat rendeljenek az engedélyezési gombokhoz, így azok kizsákmányolhatók.

Ahogy a kattintásfeltörési módszerek folyamatosan fejlődnek, a biztonsági csapatoknak proaktív védelmet kell alkalmazniuk, hogy megvédjék a felhasználói interakciókat az egyre kifinomultabb fenyegetésekkel szemben.

Betöltés...