Izkoriščanje DoubleClickjacking
Analitiki groženj so odkrili na novo ugotovljen razred ranljivosti, ki temelji na časovnem razporedu, ki izkorišča zaporedje dvojnega klika za omogočanje napadov vgrajevanja klikov in nepooblaščenega dostopa do računa na številnih pomembnih spletnih mestih. Ta tehnika, imenovana DoubleClickjacking, uvaja nov pristop k manipulaciji uporabniškega vmesnika, ki zaobide obstoječe varnostne ukrepe.
Kazalo
Nov pristop k Clickjackingu
V nasprotju s tradicionalnimi metodami klikanja, ki se zanašajo na en klik uporabnika, DoubleClickjacking izkorišča kratek zamik med dvema zaporednima klikoma. Čeprav se to morda zdi manjši premik, učinkovito zaobide zaščite, kot sta glava X-Frame-Options in nastavitve piškotkov SameSite: Lax/Strict.
Clickjacking, znan tudi kot preoblikovanje uporabniškega vmesnika, zavede uporabnike v interakcijo z elementi, za katere menijo, da so neškodljivi – kot so gumbi – samo za sprožitev nenamernih dejanj, vključno z izruvanjem podatkov ali kršitvami varnosti. DoubleClickjacking izpopolnjuje ta koncept z izkoriščanjem intervala med kliki, kar napadalcem omogoča, da preglasijo varnostne kontrole in ugrabijo račune z minimalno vpletenostjo uporabnikov.
Kako deluje napad
Tehnika poteka v naslednjem zaporedju:
- Uporabnik obišče goljufivo spletno mesto, ki samodejno odpre nov zavihek v brskalniku ali ga k temu pozove.
- To novo okno, ki se lahko pojavi kot rutinsko preverjanje CAPTCHA, uporabniku naroči, naj dvakrat klikne.
- Ko pride do dvojnega klika, izvirno spletno mesto prikrito preusmeri na zlonamerno stran, kot je zahteva za avtorizacijo OAuth.
- Hkrati se zapre pojavno okno, zaradi česar uporabnik nevede odobri kritično zahtevo za dovoljenje na izvirnem spletnem mestu.
Ker je večina spletnih varnostnih obramb zasnovanih tako, da preprečujejo le posamezne vsiljene klike, ta metoda učinkovito zaobide običajne zaščitne ukrepe. Ukrepi, kot so X-Frame-Options, piškotki SameSite in Content Security Policy (CSP), te grožnje ne morejo ublažiti.
Preventivni ukrepi in dolgoročne rešitve
Da bi odpravili to težavo, lahko razvijalci spletnih mest implementirajo zaščite na strani odjemalca, ki onemogočijo bistvene akcijske gumbe, razen če je zaznan premik miške ali pritisk tipke, ki ga sproži uporabnik. Nekatere platforme, vključno z Dropboxom, že uporabljajo takšne obrambne mehanizme za preprečevanje nepooblaščenih interakcij.
Kot dolgoročno rešitev varnostni strokovnjaki priporočajo, da prodajalci brskalnikov vzpostavijo nove standarde, podobne X-Frame-Options, za učinkovito ublažitev napadov z dvojnim klikom.
Nov preobrat v Clickjackingu
DoubleClickjacking je razvoj dobro dokumentiranih tehnik klikanja, ki izkorišča subtilne časovne vrzeli med uporabniškimi dejanji za zamenjavo legitimnih elementov uporabniškega vmesnika z zavajajočimi v trenutku.
To razkritje sledi prejšnjemu razkritju ponarejanja navzkrižnih oken (gesture-jacking), še ene različice clickjackinga. Ta tehnika prepriča uporabnike, da na ogroženem mestu pritisnejo ali zadržijo tipke, kot sta Enter ali Space, in tako sprožijo nenamerna dejanja.
Na platformah, kot sta Coinbase in Yahoo!, lahko napadalci izkoristijo vgrajevanje s kretnjami za ugrabitev računov. Če prijavljeni uporabnik obišče spletno mesto, ki ni varno, in pritisne Enter ali preslednico, lahko nevede pooblasti lažno aplikacijo OAuth. To je mogoče, ker obe platformi omogočata aplikacijam OAuth, da zahtevajo širok dostop in dodelijo predvidljive, statične identifikatorje avtorizacijskim gumbom, zaradi česar so dovzetni za izkoriščanje.
Ker se metode vgrajevanja klikov še naprej razvijajo, morajo varnostne ekipe sprejeti proaktivne obrambe, da zaščitijo interakcije uporabnikov pred vedno bolj sofisticiranimi grožnjami.