Эксплойт DoubleClickjacking
Аналитики угроз обнаружили недавно выявленный класс уязвимостей, основанных на времени, который использует последовательность двойного щелчка для осуществления атак clickjacking и несанкционированного доступа к учетным записям на многочисленных важных веб-сайтах. Эта техника, получившая название DoubleClickjacking, представляет собой новый подход к манипуляции пользовательским интерфейсом, который обходит существующие меры безопасности.
Оглавление
Новый подход к кликджекингу
В отличие от традиционных методов clickjacking, которые полагаются на один клик пользователя, DoubleClickjacking использует короткую задержку между двумя последовательными кликами. Хотя это может показаться незначительным изменением, оно эффективно обходит такие защиты, как заголовок X-Frame-Options и настройки cookie SameSite: Lax/Strict.
Clickjacking, также известный как UI redressing, обманывает пользователей, заставляя их взаимодействовать с элементами, которые они считают безвредными, например, кнопками, только чтобы вызвать непреднамеренные действия, включая утечку данных или нарушения безопасности. DoubleClickjacking совершенствует эту концепцию, используя интервал между щелчками, что позволяет злоумышленникам обходить средства управления безопасностью и захватывать учетные записи с минимальным участием пользователя.
Как работает атака
Техника разворачивается в следующей последовательности:
- Пользователь посещает мошеннический веб-сайт, который либо автоматически открывает новую вкладку браузера, либо предлагает сделать это.
- Это новое окно, которое может выглядеть как обычная проверка CAPTCHA, предлагает пользователю дважды щелкнуть.
- При двойном щелчке исходный сайт незаметно перенаправляет на вредоносную страницу, например, на запрос авторизации OAuth.
- Одновременно всплывающее окно закрывается, заставляя пользователя неосознанно одобрить критически важный запрос на разрешение на исходном сайте.
Поскольку большинство средств защиты веб-безопасности разработаны для противодействия только одиночным принудительным щелчкам, этот метод эффективно обходит обычные меры безопасности. Такие меры, как X-Frame-Options, файлы cookie SameSite и Content Security Policy (CSP) не могут смягчить эту угрозу.
Профилактические меры и долгосрочные решения
Чтобы решить эту проблему, разработчики веб-сайтов могут реализовать защиту на стороне клиента, которая отключает основные кнопки действий, если не обнаружено инициированное пользователем движение мыши или нажатие клавиши. Некоторые платформы, включая Dropbox, уже используют такие защитные механизмы для предотвращения несанкционированного взаимодействия.
В качестве долгосрочного решения эксперты по безопасности рекомендуют поставщикам браузеров установить новые стандарты, подобные X-Frame-Options, для эффективного предотвращения атак с использованием двойного щелчка.
Новый поворот в кликджекинге
DoubleClickjacking — это эволюция хорошо документированных методов кликджекинга, использующих едва заметные временные разрывы между действиями пользователя для мгновенной замены легитимных элементов пользовательского интерфейса на обманные.
Это раскрытие следует за более ранним раскрытием кросс-оконной подделки (жест-джекинга), еще одного варианта кликджекинга. Эта техника убеждает пользователей нажимать или удерживать клавиши, такие как Enter или Space, на скомпрометированном сайте, инициируя непреднамеренные действия.
На таких платформах, как Coinbase и Yahoo!, злоумышленники могут использовать подмену жестов для взлома учетных записей. Если вошедший в систему пользователь посещает небезопасный веб-сайт и нажимает Enter или Space, он может неосознанно авторизовать мошенническое приложение OAuth. Это возможно, поскольку обе платформы позволяют приложениям OAuth запрашивать широкий доступ и назначать предсказуемые статические идентификаторы кнопкам авторизации, что делает их уязвимыми для эксплуатации.
Поскольку методы кликджекинга продолжают развиваться, службам безопасности необходимо внедрять упреждающие меры защиты, чтобы защитить взаимодействие пользователей с ними от все более сложных угроз.