Eksploatacja DoubleClickjacking
Analitycy zagrożeń odkryli nową klasę luk opartych na czasie, która wykorzystuje sekwencję podwójnego kliknięcia, aby umożliwić ataki typu clickjacking i nieautoryzowany dostęp do kont w wielu ważnych witrynach. Ta technika, nazwana DoubleClickjacking, wprowadza nowe podejście do manipulacji interfejsem użytkownika, które omija istniejące środki bezpieczeństwa.
Spis treści
Nowe podejście do Clickjackingu
W przeciwieństwie do tradycyjnych metod clickjackingu, które polegają na pojedynczym kliknięciu użytkownika, DoubleClickjacking wykorzystuje krótkie opóźnienie między dwoma kolejnymi kliknięciami. Chociaż może się to wydawać niewielką zmianą, skutecznie omija zabezpieczenia, takie jak nagłówek X-Frame-Options i ustawienia plików cookie SameSite: Lax/Strict.
Clickjacking, znany również jako UI redressing, oszukuje użytkowników, aby wchodzili w interakcję z elementami, które postrzegają jako nieszkodliwe — takimi jak przyciski — tylko po to, aby wywołać niezamierzone działania, w tym eksfiltrację danych lub naruszenia bezpieczeństwa. DoubleClickjacking udoskonala tę koncepcję, wykorzystując odstęp między kliknięciami, umożliwiając atakującym obejście kontroli bezpieczeństwa i przejęcie kont przy minimalnym zaangażowaniu użytkownika.
Jak działa atak
Technika ta przebiega w następującej kolejności:
- Użytkownik odwiedza fałszywą witrynę internetową, która automatycznie otwiera nową kartę przeglądarki lub wyświetla monit o jej otwarcie.
- To nowe okno, które może wydawać się rutynową weryfikacją CAPTCHA, prosi użytkownika o dwukrotne kliknięcie.
- Gdy następuje dwukrotne kliknięcie, oryginalna witryna zostaje potajemnie przekierowana na złośliwą stronę, np. żądanie autoryzacji OAuth.
- Jednocześnie okno dialogowe zostaje zamknięte, co sprawia, że użytkownik nieświadomie zatwierdza prośbę o kluczowe uprawnienia na oryginalnej stronie.
Ponieważ większość zabezpieczeń sieci Web jest zaprojektowana tak, aby przeciwdziałać tylko pojedynczym wymuszonym kliknięciom, ta metoda skutecznie omija konwencjonalne zabezpieczenia. Środki takie jak X-Frame-Options, pliki cookie SameSite i Content Security Policy (CSP) nie mogą złagodzić tego zagrożenia.
Środki zapobiegawcze i rozwiązania długoterminowe
Aby rozwiązać ten problem, twórcy stron internetowych mogą wdrożyć zabezpieczenia po stronie klienta, które wyłączają niezbędne przyciski akcji, chyba że zostanie wykryty ruch myszy lub naciśnięcie klawisza przez użytkownika. Niektóre platformy, w tym Dropbox, już stosują takie mechanizmy obronne, aby zapobiec nieautoryzowanym interakcjom.
Eksperci ds. bezpieczeństwa zalecają, aby w ramach długoterminowego rozwiązania producenci przeglądarek ustanowili nowe standardy podobne do X-Frame-Options, które skutecznie ograniczą ataki oparte na dwukrotnym kliknięciu.
Nowe spojrzenie na clickjacking
DoubleClickjacking to rozwinięcie dobrze udokumentowanych technik clickjackingu, które wykorzystują subtelne przerwy czasowe między działaniami użytkownika, aby błyskawicznie zamienić prawidłowe elementy interfejsu użytkownika na wprowadzające w błąd.
To ujawnienie następuje po wcześniejszym ujawnieniu fałszerstwa międzyokiennego (gesture-jacking), innej odmiany clickjackingu. Ta technika nakłania użytkowników do naciśnięcia lub przytrzymania klawiszy, takich jak Enter lub Space, na zainfekowanej stronie, inicjując niezamierzone działania.
Na platformach takich jak Coinbase i Yahoo! atakujący mogliby wykorzystać przechwytywanie gestów do przejęcia kont. Jeśli zalogowany użytkownik odwiedzi niebezpieczną witrynę i naciśnie Enter lub Spację, może nieświadomie autoryzować nieuczciwą aplikację OAuth. Jest to możliwe, ponieważ obie platformy pozwalają aplikacjom OAuth żądać szerokiego dostępu i przypisywać przewidywalne, statyczne identyfikatory do przycisków autoryzacji, co czyni je podatnymi na wykorzystanie.
W miarę jak metody ataków typu clickjacking nieustannie ewoluują, zespoły ds. bezpieczeństwa muszą wdrażać proaktywne środki obrony, aby chronić interakcje użytkowników przed coraz bardziej wyrafinowanymi zagrożeniami.