DoubleClickjacking Exploit
Analytici hrozieb odhalili novo identifikovanú triedu zraniteľností založených na načasovaní, ktorá využíva sekvenciu dvojitého kliknutia na umožnenie útokov typu clickjacking a neoprávneného prístupu k účtu na mnohých významných webových stránkach. Táto technika s názvom DoubleClickjacking predstavuje nový prístup k manipulácii s používateľským rozhraním, ktorý obchádza existujúce bezpečnostné opatrenia.
Obsah
Nový prístup ku Clickjackingu
Na rozdiel od tradičných metód clickjackingu, ktoré sa spoliehajú na jedno kliknutie používateľa, DoubleClickjacking využíva krátke oneskorenie medzi dvoma po sebe idúcimi kliknutiami. Aj keď sa to môže zdať ako malý posun, účinne obchádza ochrany, ako je hlavička X-Frame-Options a nastavenia súborov cookie SameSite: Lax/Strict.
Clickjacking, tiež známy ako UI redressing, klame používateľov, aby interagovali s prvkami, ktoré vnímajú ako neškodné – ako sú tlačidlá – len s cieľom spustiť neúmyselné akcie, vrátane úniku dát alebo narušenia bezpečnosti. DoubleClickjacking vylepšuje tento koncept využívaním intervalu medzi kliknutiami, čo útočníkom umožňuje obísť bezpečnostné kontroly a ukradnúť účty s minimálnym zapojením používateľov.
Ako funguje útok
Technika sa rozvíja v nasledujúcom poradí:
- Používateľ navštívi podvodnú webovú stránku, ktorá buď automaticky otvorí novú kartu prehliadača, alebo ho na to vyzve.
- Toto nové okno, ktoré sa môže zobraziť ako bežné overenie CAPTCHA, dáva používateľovi pokyn dvakrát kliknúť.
- Keď dôjde k dvojitému kliknutiu, pôvodná stránka sa tajne presmeruje na škodlivú stránku, ako je napríklad žiadosť o autorizáciu OAuth.
- Súčasne sa vyskakovacie okno zatvorí, čo vedie používateľa k nevedomému schváleniu kritickej žiadosti o povolenie na pôvodnej lokalite.
Keďže väčšina webových bezpečnostných obranných opatrení je navrhnutá tak, aby pôsobila iba na jednotlivé vynútené kliknutia, táto metóda efektívne obchádza konvenčné bezpečnostné opatrenia. Opatrenia ako X-Frame-Options, SameSite cookies a Content Security Policy (CSP) nedokážu zmierniť túto hrozbu.
Preventívne opatrenia a dlhodobé riešenia
Na vyriešenie tohto problému môžu vývojári webových stránok implementovať ochranu na strane klienta, ktorá deaktivuje základné akčné tlačidlá, pokiaľ sa nezistí pohyb myši alebo stlačenie klávesu používateľom. Niektoré platformy, vrátane Dropboxu, už využívajú takéto obranné mechanizmy, aby zabránili neoprávneným interakciám.
Odborníci na bezpečnosť ako dlhodobé riešenie odporúčajú, aby predajcovia prehliadačov zaviedli nové štandardy podobné X-Frame-Options na efektívne zmiernenie útokov založených na dvojitom kliknutí.
Nový Twist na Clickjacking
DoubleClickjacking je evolúciou dobre zdokumentovaných techník clickjackingu, ktorý využíva jemné časové medzery medzi akciami používateľa na okamžitú výmenu legitímnych prvkov používateľského rozhrania za klamlivé.
Toto zverejnenie nasleduje po skoršom odhalení falšovania cez okno (gesture-jacking), ďalšieho variantu clickjackingu. Táto technika presviedča používateľov, aby stlačili alebo podržali klávesy ako Enter alebo Medzerník na napadnutom webe a iniciovali tak neúmyselné akcie.
Na platformách ako Coinbase a Yahoo! by útočníci mohli využiť gesto-jacking na únos účtov. Ak prihlásený používateľ navštívi nebezpečnú webovú stránku a stlačí kláves Enter alebo medzerník, môže nevedomky autorizovať podvodnú aplikáciu OAuth. Je to možné, pretože obe platformy umožňujú aplikáciám OAuth požadovať široký prístup a priraďovať predvídateľné, statické identifikátory autorizačným tlačidlám, vďaka čomu sú náchylné na zneužitie.
Keďže metódy clickjackingu sa neustále vyvíjajú, bezpečnostné tímy musia prijať proaktívnu obranu na ochranu interakcií používateľov pred čoraz sofistikovanejšími hrozbami.