DoubleClickjacking Exploit
Penganalisis ancaman telah menemui kelas kerentanan berasaskan masa yang baru dikenal pasti yang mengeksploitasi urutan klik dua kali untuk membolehkan serangan clickjacking dan akses akaun tanpa kebenaran merentas banyak tapak web penting. Teknik ini, yang digelar DoubleClickjacking, memperkenalkan pendekatan baharu kepada manipulasi UI yang memintas langkah keselamatan sedia ada.
Isi kandungan
Pendekatan Baru untuk Clickjacking
Tidak seperti kaedah clickjacking tradisional yang bergantung pada satu klik pengguna, DoubleClickjacking memanfaatkan kelewatan ringkas antara dua klik berturut-turut. Walaupun ini mungkin kelihatan seperti anjakan kecil, ia secara berkesan memintas perlindungan seperti pengepala X-Frame-Options dan SameSite: tetapan kuki Lax/Strict.
Clickjacking, juga dikenali sebagai pembetulan UI, memperdaya pengguna untuk berinteraksi dengan elemen yang mereka anggap tidak berbahaya—seperti butang—hanya untuk mencetuskan tindakan yang tidak diingini, termasuk exfiltration data atau pelanggaran keselamatan. DoubleClickjacking memperhalusi konsep ini dengan mengeksploitasi selang antara klik, membenarkan penyerang mengatasi kawalan keselamatan dan merampas akaun dengan penglibatan pengguna yang minimum.
Bagaimana Serangan Berfungsi
Teknik ini dibentangkan dalam urutan berikut:
- Seorang pengguna melawat tapak web penipuan yang sama ada membuka tab penyemak imbas baharu secara automatik atau menggesa mereka berbuat demikian.
- Tetingkap baharu ini, yang mungkin muncul sebagai pengesahan CAPTCHA rutin, mengarahkan pengguna untuk mengklik dua kali.
- Apabila klik dua kali berlaku, tapak asal secara senyap-senyap mengubah hala ke halaman berniat jahat—seperti permintaan kebenaran OAuth.
- Pada masa yang sama, tetingkap pop timbul ditutup, membawa pengguna untuk meluluskan permintaan kebenaran kritikal pada tapak asal tanpa disedari.
Memandangkan kebanyakan pertahanan keselamatan Web direka untuk mengatasi hanya klik paksa tunggal, kaedah ini secara berkesan memintas perlindungan konvensional. Langkah-langkah seperti X-Frame-Options, kuki SameSite dan Dasar Keselamatan Kandungan (CSP) tidak boleh mengurangkan ancaman ini.
Langkah-langkah Pencegahan dan Penyelesaian Jangka Panjang
Untuk menangani isu ini, pembangun tapak web boleh melaksanakan perlindungan sisi klien yang melumpuhkan butang tindakan penting melainkan pergerakan tetikus atau penekanan kekunci yang dimulakan pengguna dikesan. Sesetengah platform, termasuk Dropbox, telah menggunakan mekanisme pertahanan sedemikian untuk menghalang interaksi yang tidak dibenarkan.
Sebagai penyelesaian jangka panjang, pakar keselamatan mengesyorkan agar vendor penyemak imbas mewujudkan piawaian baharu yang serupa dengan X-Frame-Options untuk mengurangkan serangan berasaskan klik dua kali dengan berkesan.
Twist Baru pada Clickjacking
DoubleClickjacking ialah evolusi teknik clickjacking yang didokumentasikan dengan baik, mengeksploitasi jurang masa yang halus antara tindakan pengguna untuk menukar elemen UI yang sah dengan elemen yang mengelirukan dalam sekelip mata.
Pendedahan ini mengikuti pendedahan awal tentang pemalsuan silang tetingkap (gesture-jacking), satu lagi varian clickjacking. Teknik itu memujuk pengguna untuk menekan atau menahan kekunci seperti Enter atau Space pada tapak yang terjejas, memulakan tindakan yang tidak diingini.
Pada platform seperti Coinbase dan Yahoo!, penyerang boleh memanfaatkan gerak isyarat untuk merampas akaun. Jika pengguna log masuk melawat tapak web yang tidak selamat dan menekan Enter atau Space, mereka secara tidak sedar boleh membenarkan aplikasi OAuth penyangak. Ini boleh dilakukan kerana kedua-dua platform membenarkan aplikasi OAuth meminta akses luas dan menetapkan pengecam statik yang boleh diramal kepada butang kebenaran, menjadikannya mudah terdedah kepada eksploitasi.
Memandangkan kaedah clickjacking terus berkembang, pasukan keselamatan mesti menggunakan pertahanan proaktif untuk melindungi interaksi pengguna daripada ancaman yang semakin canggih.