Preventivo sconto multi-licenza
Problema Sfruttamento del DoubleClickjacking

Sfruttamento del DoubleClickjacking

Entro Mezo nel Problema
Traduci in:
Italiano

Gli analisti delle minacce hanno scoperto una nuova classe di vulnerabilità basate sul timing che sfrutta una sequenza di doppio clic per abilitare attacchi di clickjacking e accesso non autorizzato all'account su numerosi siti Web significativi. Questa tecnica, denominata DoubleClickjacking, introduce un nuovo approccio alla manipolazione dell'interfaccia utente che aggira le misure di sicurezza esistenti.

Un nuovo approccio al clickjacking

A differenza dei tradizionali metodi di clickjacking che si basano su un singolo clic dell'utente, DoubleClickjacking sfrutta il breve ritardo tra due clic consecutivi. Sebbene questo possa sembrare un cambiamento di poco conto, aggira efficacemente protezioni come l'intestazione X-Frame-Options e le impostazioni dei cookie SameSite: Lax/Strict.

Il clickjacking, noto anche come UI redressing, inganna gli utenti inducendoli a interagire con elementi che percepiscono come innocui, come i pulsanti, solo per innescare azioni indesiderate, tra cui l'esfiltrazione di dati o violazioni della sicurezza. Il DoubleClickjacking perfeziona questo concetto sfruttando l'intervallo tra i clic, consentendo agli aggressori di ignorare i controlli di sicurezza e dirottare gli account con un coinvolgimento minimo dell'utente.

Come funziona l’attacco

La tecnica si svolge nella seguente sequenza:

  • Un utente visita un sito web fraudolento che apre automaticamente una nuova scheda del browser o gli chiede di farlo.
  • Questa nuova finestra, che potrebbe apparire come una verifica CAPTCHA di routine, chiede all'utente di fare doppio clic.
  • Quando si verifica il doppio clic, il sito originale reindirizza furtivamente a una pagina dannosa, ad esempio una richiesta di autorizzazione OAuth.
  • Contemporaneamente, la finestra pop-up si chiude, portando l'utente ad approvare inconsapevolmente una richiesta di autorizzazione critica sul sito originale.

Poiché la maggior parte delle difese di sicurezza Web sono progettate per contrastare solo singoli clic forzati, questo metodo aggira efficacemente le protezioni convenzionali. Misure come X-Frame-Options, SameSite cookie e Content Security Policy (CSP) non possono mitigare questa minaccia.

Misure preventive e soluzioni a lungo termine

Per risolvere questo problema, gli sviluppatori di siti Web possono implementare protezioni lato client che disabilitano i pulsanti di azione essenziali a meno che non venga rilevato un movimento del mouse o una pressione di un tasto avviati dall'utente. Alcune piattaforme, tra cui Dropbox, impiegano già tali meccanismi difensivi per prevenire interazioni non autorizzate.

Come soluzione a lungo termine, gli esperti di sicurezza raccomandano ai fornitori di browser di stabilire nuovi standard simili a X-Frame-Options per mitigare efficacemente gli attacchi basati sul doppio clic.

Una nuova svolta nel clickjacking

DoubleClickjacking è un'evoluzione di tecniche di clickjacking ben documentate, che sfruttano sottili intervalli di tempo tra le azioni dell'utente per sostituire in un istante elementi legittimi dell'interfaccia utente con altri ingannevoli.

Questa divulgazione segue una precedente rivelazione di cross-window forgery (gesture-jacking), un'altra variante del clickjacking. Questa tecnica persuade gli utenti a premere o tenere premuti tasti come Invio o Spazio su un sito compromesso, avviando azioni indesiderate.

Su piattaforme come Coinbase e Yahoo!, gli aggressori potrebbero sfruttare il gesture-jacking per dirottare gli account. Se un utente loggato visita un sito Web non sicuro e preme Invio o Spazio, potrebbe autorizzare inconsapevolmente un'applicazione OAuth non autorizzata. Ciò è possibile perché entrambe le piattaforme consentono alle applicazioni OAuth di richiedere un ampio accesso e assegnare identificatori statici prevedibili ai pulsanti di autorizzazione, rendendoli vulnerabili allo sfruttamento.

Con la continua evoluzione dei metodi di clickjacking, i team di sicurezza devono adottare misure di difesa proattive per salvaguardare le interazioni degli utenti da minacce sempre più sofisticate.

Caricamento in corso...