DoubleClickjacking-exploit
Threatanalisten hebben een nieuw geïdentificeerde klasse van timing-gebaseerde kwetsbaarheden ontdekt die een dubbelkliksequentie misbruikt om clickjacking-aanvallen en ongeautoriseerde accounttoegang op talloze belangrijke websites mogelijk te maken. Deze techniek, DoubleClickjacking genoemd, introduceert een nieuwe benadering van UI-manipulatie die bestaande beveiligingsmaatregelen omzeilt.
Inhoudsopgave
Een nieuwe aanpak van clickjacking
In tegenstelling tot traditionele clickjacking-methoden die afhankelijk zijn van een enkele klik van de gebruiker, maakt DoubleClickjacking gebruik van de korte vertraging tussen twee opeenvolgende klikken. Hoewel dit misschien een kleine verschuiving lijkt, omzeilt het effectief beveiligingen zoals de X-Frame-Options-header en SameSite: Lax/Strict-cookie-instellingen.
Clickjacking, ook bekend als UI redressing, misleidt gebruikers om te interacteren met elementen die zij als onschadelijk beschouwen, zoals knoppen, om vervolgens onbedoelde acties te activeren, waaronder data-exfiltratie of beveiligingsinbreuken. DoubleClickjacking verfijnt dit concept door het interval tussen klikken te exploiteren, waardoor aanvallers beveiligingscontroles kunnen omzeilen en accounts kunnen kapen met minimale betrokkenheid van de gebruiker.
Hoe de aanval werkt
De techniek verloopt in de volgende volgorde:
- Een gebruiker bezoekt een frauduleuze website die automatisch een nieuw browsertabblad opent of de gebruiker vraagt dit te doen.
- Dit nieuwe venster, dat kan verschijnen als een routinematige CAPTCHA-verificatie, vraagt de gebruiker om te dubbelklikken.
- Wanneer er wordt dubbelgeklikt, wordt de oorspronkelijke site stiekem doorgestuurd naar een schadelijke pagina, zoals een OAuth-autorisatieverzoek.
- Tegelijkertijd wordt het pop-upvenster gesloten, waardoor de gebruiker onbewust een belangrijk toestemmingsverzoek op de oorspronkelijke site moet goedkeuren.
Omdat de meeste webbeveiligingen zijn ontworpen om alleen enkele geforceerde klikken tegen te gaan, omzeilt deze methode effectief conventionele beveiligingen. Maatregelen zoals X-Frame-Options, SameSite-cookies en Content Security Policy (CSP) kunnen deze bedreiging niet verminderen.
Preventieve maatregelen en langetermijnoplossingen
Om dit probleem aan te pakken, kunnen websiteontwikkelaars client-side beschermingen implementeren die essentiële actieknoppen uitschakelen, tenzij een door de gebruiker geïnitieerde muisbeweging of toetsaanslag wordt gedetecteerd. Sommige platforms, waaronder Dropbox, gebruiken dergelijke verdedigingsmechanismen al om ongeautoriseerde interacties te voorkomen.
Als oplossing op de lange termijn adviseren beveiligingsexperts dat browserleveranciers nieuwe standaarden opstellen, vergelijkbaar met X-Frame-Options, om aanvallen via dubbelklikken effectief te beperken.
Een nieuwe draai aan clickjacking
DoubleClickjacking is een verdere ontwikkeling van goed gedocumenteerde clickjackingtechnieken, waarbij subtiele tijdsverschillen tussen gebruikersacties worden uitgebuit om legitieme UI-elementen in een oogwenk te vervangen door misleidende elementen.
Deze onthulling volgt op een eerdere onthulling van cross-window forgery (gesture-jacking), een andere clickjackingvariant. Die techniek overtuigt gebruikers om toetsen als Enter of Space op een gecompromitteerde site in te drukken of ingedrukt te houden, waardoor onbedoelde acties worden gestart.
Op platforms zoals Coinbase en Yahoo! kunnen aanvallers gebruikmaken van gesture-jacking om accounts te kapen. Als een ingelogde gebruiker een onveilige website bezoekt en op Enter of spatie drukt, kunnen ze onbewust een frauduleuze OAuth-applicatie autoriseren. Dit is mogelijk omdat beide platforms OAuth-applicaties toestaan om brede toegang aan te vragen en voorspelbare, statische identifiers toe te wijzen aan autorisatieknoppen, waardoor ze vatbaar zijn voor misbruik.
Naarmate clickjackingmethoden zich verder ontwikkelen, moeten beveiligingsteams proactieve verdedigingsmaatregelen implementeren om gebruikersinteracties te beschermen tegen steeds geavanceerdere bedreigingen.