DoubleClickjacking-utnyttelse
Trusselanalytikere har avdekket en nylig identifisert klasse av tidsbaserte sårbarheter som utnytter en dobbeltklikksekvens for å muliggjøre clickjacking-angrep og uautorisert kontotilgang på en rekke viktige nettsteder. Denne teknikken, kalt DoubleClickjacking, introduserer en ny tilnærming til UI-manipulasjon som omgår eksisterende sikkerhetstiltak.
Innholdsfortegnelse
En ny tilnærming til clickjacking
I motsetning til tradisjonelle clickjacking-metoder som er avhengige av et enkelt brukerklikk, utnytter DoubleClickjacking den korte forsinkelsen mellom to påfølgende klikk. Selv om dette kan virke som et mindre skifte, omgår det effektivt beskyttelser som X-Frame-Options-overskriften og SameSite: Lax/Strict cookie-innstillinger.
Clickjacking, også kjent som UI-redressing, lurer brukere til å samhandle med elementer de oppfatter som ufarlige – for eksempel knapper – bare for å utløse utilsiktede handlinger, inkludert dataeksfiltrering eller sikkerhetsbrudd. DoubleClickjacking avgrenser dette konseptet ved å utnytte intervallet mellom klikk, slik at angripere kan overstyre sikkerhetskontroller og kapre kontoer med minimal brukerinvolvering.
Hvordan angrepet fungerer
Teknikken utfolder seg i følgende rekkefølge:
- En bruker besøker et uredelig nettsted som enten åpner en ny nettleserfane automatisk eller ber dem om å gjøre det.
- Dette nye vinduet, som kan vises som en rutinemessig CAPTCHA-verifisering, ber brukeren om å dobbeltklikke.
- Når dobbeltklikket skjer, omdirigerer det opprinnelige nettstedet snikende til en ondsinnet side – for eksempel en OAuth-godkjenningsforespørsel.
- Samtidig lukkes popup-vinduet, noe som fører til at brukeren uvitende godkjenner en kritisk tillatelsesforespørsel på det opprinnelige nettstedet.
Siden de fleste nettsikkerhetsforsvar er utformet for å motvirke kun enkelt tvangsklikk, omgår denne metoden effektivt konvensjonelle sikkerhetstiltak. Tiltak som X-Frame-Options, SameSite-informasjonskapsler og Content Security Policy (CSP) kan ikke redusere denne trusselen.
Forebyggende tiltak og langsiktige løsninger
For å løse dette problemet kan nettstedutviklere implementere beskyttelse på klientsiden som deaktiverer viktige handlingsknapper med mindre en brukerinitiert musebevegelse eller tastetrykk oppdages. Noen plattformer, inkludert Dropbox, bruker allerede slike defensive mekanismer for å forhindre uautoriserte interaksjoner.
Som en langsiktig løsning anbefaler sikkerhetseksperter at nettleserleverandører etablerer nye standarder i likhet med X-Frame-Options for å redusere dobbeltklikkbaserte angrep effektivt.
En ny vri på Clickjacking
DoubleClickjacking er en utvikling av veldokumenterte clickjacking-teknikker, som utnytter subtile tidsgap mellom brukerhandlinger for å bytte ut legitime brukergrensesnittelementer med villedende elementer på et øyeblikk.
Denne avsløringen følger en tidligere avsløring av forfalskning av kryssvinduer (gest-jacking), en annen clickjacking-variant. Denne teknikken overtaler brukere til å trykke eller holde nede taster som Enter eller Space på et kompromittert nettsted, og initierer utilsiktede handlinger.
På plattformer som Coinbase og Yahoo! kan angripere utnytte gest-jacking for å kapre kontoer. Hvis en pålogget bruker besøker et usikkert nettsted og trykker Enter eller Space, kan de ubevisst autorisere en falsk OAuth-applikasjon. Dette er mulig fordi begge plattformene lar OAuth-applikasjoner be om bred tilgang og tilordne forutsigbare, statiske identifikatorer til autorisasjonsknapper, noe som gjør dem mottakelige for utnyttelse.
Ettersom clickjacking-metoder fortsetter å utvikle seg, må sikkerhetsteam ta i bruk proaktive forsvar for å beskytte brukerinteraksjoner mot stadig mer sofistikerte trusler.