DoubleClickjacking Exploit
Draudu analītiķi ir atklājuši nesen identificētu uz laiku balstītu ievainojamību klasi, kas izmanto dubultklikšķu secību, lai iespējotu klikšķu uzlaušanas uzbrukumus un nesankcionētu piekļuvi kontam daudzās nozīmīgās vietnēs. Šis paņēmiens, saukts par DoubleClickjacking, ievieš jaunu pieeju lietotāja saskarnes manipulācijām, kas apiet esošos drošības pasākumus.
Satura rādītājs
Jauna pieeja klikšķu uzlaušanai
Atšķirībā no tradicionālajām klikšķu uzlaušanas metodēm, kas balstās uz vienu lietotāja klikšķi, DoubleClickjacking izmanto īsu aizkavi starp diviem secīgiem klikšķiem. Lai gan tas var šķist nelielas izmaiņas, tas efektīvi apiet tādas aizsardzības iespējas kā X-Frame-Options galvene un SameSite: Lax/Strict sīkfailu iestatījumi.
Klikšķu uzlaupīšana, kas pazīstama arī kā lietotāja saskarnes labošana, liek lietotājiem mijiedarboties ar elementiem, kurus viņi uzskata par nekaitīgiem, piemēram, pogām, lai tikai izraisītu neparedzētas darbības, tostarp datu izfiltrēšanu vai drošības pārkāpumus. DoubleClickjacking pilnveido šo koncepciju, izmantojot intervālu starp klikšķiem, ļaujot uzbrucējiem ignorēt drošības vadīklas un nolaupīt kontus ar minimālu lietotāja iesaisti.
Kā darbojas uzbrukums
Tehnika attīstās šādā secībā:
- Lietotājs apmeklē krāpniecisku vietni, kurā vai nu automātiski tiek atvērta jauna pārlūkprogrammas cilne, vai tiek piedāvāts to darīt.
- Šis jaunais logs, kas var parādīties kā parasta CAPTCHA pārbaude, liek lietotājam veikt dubultklikšķi.
- Veicot dubultklikšķi, sākotnējā vietne zagšus novirza uz ļaunprātīgu lapu, piemēram, OAuth autorizācijas pieprasījumu.
- Vienlaikus uznirstošais logs tiek aizvērts, liekot lietotājam neapzināti apstiprināt kritisku atļaujas pieprasījumu sākotnējā vietnē.
Tā kā lielākā daļa tīmekļa drošības aizsardzības līdzekļu ir paredzēti, lai novērstu tikai vienu piespiedu klikšķi, šī metode efektīvi apiet parastos aizsardzības pasākumus. Tādi pasākumi kā X-Frame-Options, SameSite sīkfaili un satura drošības politika (CSP) nevar mazināt šo draudu.
Preventīvie pasākumi un ilgtermiņa risinājumi
Lai novērstu šo problēmu, vietņu izstrādātāji var ieviest klienta puses aizsardzību, kas atspējo būtiskās darbības pogas, ja vien netiek konstatēta lietotāja iniciēta peles kustība vai taustiņa nospiešana. Dažas platformas, tostarp Dropbox, jau izmanto šādus aizsardzības mehānismus, lai novērstu nesankcionētu mijiedarbību.
Kā ilgtermiņa risinājumu drošības eksperti iesaka pārlūkprogrammu pārdevējiem izveidot jaunus standartus, kas ir līdzīgi X-Frame-Options, lai efektīvi mazinātu dubultklikšķu uzbrukumus.
Jauns pavērsiens klikšķu uzlaušanā
DoubleClickjacking ir labi dokumentētu klikšķu uzlaušanas paņēmienu evolūcija, kas izmanto smalkas laika atšķirības starp lietotāja darbībām, lai vienā mirklī apmainītu likumīgos lietotāja interfeisa elementus ar maldinošiem.
Šī izpaušana ir saistīta ar agrāku atklāsmi par starplogu viltošanu (žestu izjaukšanu), kas ir vēl viens klikšķu uzlaušanas variants. Šis paņēmiens pārliecina lietotājus nospiest vai turēt tādus taustiņus kā Enter vai Space uzlauztā vietnē, uzsākot neparedzētas darbības.
Tādās platformās kā Coinbase un Yahoo! uzbrucēji var izmantot žestu uzlaušanu, lai nolaupītu kontus. Ja pieteicies lietotājs apmeklē nedrošu vietni un nospiež taustiņu Enter vai Space, viņš var neapzināti autorizēt negodīgu OAuth lietojumprogrammu. Tas ir iespējams, jo abas platformas ļauj OAuth lietojumprogrammām pieprasīt plašu piekļuvi un piešķirt paredzamus, statiskus identifikatorus autorizācijas pogām, padarot tās pakļautas izmantošanai.
Tā kā klikšķu uzlaušanas metodes turpina attīstīties, drošības komandām ir jāpieņem proaktīvi aizsardzības līdzekļi, lai aizsargātu lietotāju mijiedarbību no arvien sarežģītākiem draudiem.