DoubleClickjacking Exploit
Grėsmių analitikai atskleidė naujai identifikuotą pažeidžiamumų, pagrįstų laiku, klasę, kuri naudoja dvigubo paspaudimo seką, kad įgalintų paspaudimų užgrobimo atakas ir neteisėtą prieigą prie paskyros daugelyje svarbių svetainių. Ši technika, pavadinta „DoubleClickjacking“, pristato naują požiūrį į UI manipuliavimą, kuris apeina esamas saugumo priemones.
Turinys
Naujas požiūris į paspaudimų plėšimą
Skirtingai nuo tradicinių paspaudimų užgrobimo metodų, kurie priklauso nuo vieno vartotojo paspaudimo, „DoubleClickjacking“ išnaudoja trumpą delsą tarp dviejų iš eilės paspaudimų. Nors tai gali atrodyti kaip nedidelis pokytis, jis veiksmingai apeina tokias apsaugos priemones, kaip „X-Frame-Options“ antraštė ir „SameSite: Lax/Strict“ slapukų nustatymai.
Spustelėjimų užgrobimas, taip pat žinomas kaip vartotojo sąsajos taisymas, apgaudinėja vartotojus, kad jie sąveikauja su elementais, kuriuos jie suvokia kaip nekenksmingus, pvz., mygtukais, tik tam, kad suaktyvintų nenumatytus veiksmus, įskaitant duomenų išfiltravimą ar saugumo pažeidimus. „DoubleClickjacking“ patobulina šią koncepciją, išnaudodama intervalą tarp paspaudimų, leisdama užpuolikams nepaisyti saugos valdiklių ir užgrobti paskyras minimaliai įtraukiant naudotojus.
Kaip veikia ataka
Technika vystosi tokia seka:
- Vartotojas apsilanko apgaulingoje svetainėje, kuri arba automatiškai atidaro naują naršyklės skirtuką, arba ragina tai padaryti.
- Šis naujas langas, kuris gali būti rodomas kaip įprastas CAPTCHA patvirtinimas, nurodo vartotojui dukart spustelėti.
- Kai įvyksta dvigubas paspaudimas, pradinė svetainė slapta nukreipia į kenkėjišką puslapį, pvz., OAuth prieigos užklausą.
- Tuo pačiu metu uždaromas iššokantis langas, todėl vartotojas nesąmoningai patvirtina kritinę leidimo užklausą pradinėje svetainėje.
Kadangi dauguma žiniatinklio apsaugos priemonių yra skirtos atremti tik vieną priverstinį paspaudimą, šis metodas veiksmingai apeina įprastines apsaugos priemones. Tokios priemonės kaip „X-Frame-Options“, „SameSite“ slapukai ir turinio saugos politika (CSP) negali sumažinti šios grėsmės.
Prevencinės priemonės ir ilgalaikiai sprendimai
Norėdami išspręsti šią problemą, svetainių kūrėjai gali įdiegti kliento pusės apsaugą, kuri išjungia esminius veiksmų mygtukus, nebent būtų aptiktas vartotojo inicijuotas pelės judesys arba klavišo paspaudimas. Kai kuriose platformose, įskaitant „Dropbox“, jau naudojami tokie gynybiniai mechanizmai, kad būtų išvengta neteisėtos sąveikos.
Kaip ilgalaikį sprendimą saugumo ekspertai rekomenduoja naršyklių pardavėjams nustatyti naujus standartus, panašius į X-Frame-Options, kad būtų veiksmingai sumažintos dvigubu paspaudimu pagrįstos atakos.
Naujas „Clickjacking“ posūkis
„DoubleClickjacking“ yra gerai dokumentuotų „clickjacking“ metodų evoliucija, išnaudojanti subtilius laiko tarpus tarp vartotojo veiksmų, kad teisėti vartotojo sąsajos elementai akimirksniu būtų pakeisti apgaulingais.
Šis atskleidimas buvo atskleistas po ankstesnio klastojimo tarp langų (gestų nuėmimo), kito paspaudimo užgrobimo varianto. Ši technika įtikina vartotojus pažeistoje svetainėje paspausti arba palaikyti klavišus, pvz., Enter arba Space, ir taip pradėti nenumatytus veiksmus.
Tokiose platformose kaip „Coinbase“ ir „Yahoo!“ užpuolikai gali panaudoti gestų grobimą, kad užgrobtų paskyras. Jei prisijungęs vartotojas apsilanko nesaugioje svetainėje ir paspaudžia Enter arba Space, jis gali nesąmoningai įgalioti nesąžiningą OAuth programą. Tai įmanoma, nes abi platformos leidžia „OAuth“ programoms prašyti plačios prieigos ir priskirti nuspėjamus, statinius identifikatorius prieigos mygtukams, todėl jie gali būti išnaudojami.
Spustelėjimų užgrobimo metodams toliau tobulėjant, saugos komandos turi imtis aktyvių apsaugos priemonių, kad apsaugotų naudotojų sąveiką nuo vis sudėtingesnių grėsmių.