DoubleClickjacking Exploit
Os analistas de ameaças descobriram uma classe recém-identificada de vulnerabilidades baseadas eno tempo, que explora uma sequência de clique duplo para permitir ataques de clickjacking e acesso não autorizado a contas em vários sites significativos. Essa técnica, chamada DoubleClickjacking, introduz uma nova abordagem para manipulação de IU que contorna medidas de segurança existentes.
Índice
Uma Nova Abordagem para o Clickjacking
Diferentemente dos métodos tradicionais de clickjacking que dependem de um único clique do usuário, o DoubleClickjacking aproveita o breve atraso entre dois cliques consecutivos. Embora isso possa parecer uma mudança menor, ele efetivamente ignora proteções como o cabeçalho X-Frame-Options e as configurações de cookie SameSite: Lax/Strict.
Clickjacking, também conhecido como UI redressing, engana os usuários para que interajam com elementos que eles percebem como inofensivos — como botões — apenas para desencadear ações não intencionais, incluindo exfiltração de dados ou violações de segurança. O DoubleClickjacking refina esse conceito explorando o intervalo entre cliques, permitindo que invasores substituam controles de segurança e sequestrem contas com envolvimento mínimo do usuário.
Como Funciona o Ataque
A técnica se desdobra na seguinte sequência:
- Um usuário visita um site fraudulento que abre uma nova aba do navegador automaticamente ou solicita que ele faça isso.
- Esta nova janela, que pode aparecer como uma verificação de CAPTCHA de rotina, instrui o usuário a clicar duas vezes.
- À medida que o clique duplo ocorre, o site original redireciona furtivamente para uma página maliciosa, como uma solicitação de autorização OAuth.
- Simultaneamente, a janela pop-up fecha, levando o usuário a aprovar uma solicitação de permissão crítica no site original sem saber.
Como a maioria das defesas de segurança da Web são projetadas para neutralizar apenas cliques forçados únicos, esse método efetivamente ignora salvaguardas convencionais. Medidas como X-Frame-Options, cookies SameSite e Content Security Policy (CSP) não podem mitigar essa ameaça.
Medidas Preventivas e Soluções a Longo Prazo
Para resolver esse problema, os desenvolvedores de sites podem implementar proteções do lado do cliente que desabilitam botões de ação essenciais, a menos que um movimento do mouse ou pressionamento de tecla iniciado pelo usuário seja detectado. Algumas plataformas, incluindo o Dropbox, já empregam tais mecanismos defensivos para evitar interações não autorizadas.
Como solução de longo prazo, especialistas em segurança recomendam que os fornecedores de navegadores estabeleçam novos padrões semelhantes ao X-Frame-Options para mitigar ataques baseados em clique duplo de forma eficaz.
Uma Nova Reviravolta no Clickjacking
DoubleClickjacking é uma evolução de técnicas bem documentadas de clickjacking, que explora sutis lacunas de tempo entre as ações do usuário para trocar elementos legítimos da interface do usuário por elementos enganosos em um instante.
Esta divulgação segue uma revelação anterior de falsificação entre janelas (gesture-jacking), outra variante de clickjacking. Essa técnica persuade os usuários a pressionar ou segurar teclas como Enter ou Space em um site comprometido, iniciando ações não intencionais.
Em plataformas como Coinbase e Yahoo!, os invasores podem aproveitar o gesture-jacking para sequestrar contas. Se um usuário logado visitar um site inseguro e pressionar Enter ou Space, ele pode autorizar, sem saber, um aplicativo OAuth desonesto. Isso é possível porque ambas as plataformas permitem que os aplicativos OAuth solicitem amplo acesso e atribuam identificadores previsíveis e estáticos aos botões de autorização, tornando-os suscetíveis à exploração.
À medida que os métodos de clickjacking continuam a evoluir, as equipes de segurança devem adotar defesas proativas para proteger as interações dos usuários contra ameaças cada vez mais sofisticadas.