Kuota e zbritjes me shumë licencë
Çështja DoubleClickjacking Exploit

DoubleClickjacking Exploit

Nga MezoÇështja
Përkthe në:
Shqip

Analistët e kërcënimeve kanë zbuluar një klasë të sapoidentifikuar dobësish të bazuara në kohën që shfrytëzon një sekuencë të klikimit të dyfishtë për të mundësuar sulmet e klikimeve dhe aksesin e paautorizuar të llogarisë nëpër uebsajte të shumta të rëndësishme. Kjo teknikë, e quajtur DoubleClickjacking, prezanton një qasje të re për manipulimin e UI që anashkalon masat ekzistuese të sigurisë.

Një qasje e re ndaj Clickjacking

Ndryshe nga metodat tradicionale të klikimeve që mbështeten në një klikim të vetëm të përdoruesit, DoubleClickjacking shfrytëzon vonesën e shkurtër midis dy klikimeve të njëpasnjëshme. Ndonëse kjo mund të duket si një ndryshim i vogël, ai në mënyrë efektive anashkalon mbrojtje të tilla si titulli i opsioneve X-Frame dhe cilësimet e skedarëve SameSite: Lax/Strict.

Clickjacking, i njohur gjithashtu si korrigjimi i ndërfaqes së përdoruesit, i mashtron përdoruesit që të ndërveprojnë me elementë që ata i perceptojnë si të padëmshëm—si butonat—vetëm për të shkaktuar veprime të paqëllimshme, duke përfshirë ekfiltrimin e të dhënave ose shkeljet e sigurisë. DoubleClickjacking e përpunon këtë koncept duke shfrytëzuar intervalin midis klikimeve, duke i lejuar sulmuesit të anashkalojnë kontrollet e sigurisë dhe të rrëmbejnë llogaritë me përfshirje minimale të përdoruesve.

Si funksionon sulmi

Teknika shpaloset në sekuencën e mëposhtme:

  • Një përdorues viziton një faqe interneti mashtruese që ose hap automatikisht një skedë të re të shfletuesit ose i kërkon ta bëjnë këtë.
  • Kjo dritare e re, e cila mund të shfaqet si një verifikim rutinë CAPTCHA, udhëzon përdoruesin të klikojë dy herë.
  • Ndërsa ndodh klikimi i dyfishtë, faqja origjinale ridrejtohet në mënyrë të fshehtë në një faqe me qëllim të keq - siç është një kërkesë për autorizim OAuth.
  • Në të njëjtën kohë, dritarja pop-up mbyllet, duke e çuar përdoruesin të miratojë një kërkesë kritike për leje në faqen origjinale pa e ditur.

Meqenëse shumica e mbrojtjeve të sigurisë në ueb janë krijuar për të kundërshtuar vetëm klikimet e vetme të detyruara, kjo metodë në mënyrë efektive anashkalon masat mbrojtëse konvencionale. Masa të tilla si opsionet X-Frame, cookies SameSite dhe Politika e Sigurisë së Përmbajtjes (CSP) nuk mund ta zbusin këtë kërcënim.

Masat parandaluese dhe zgjidhjet afatgjata

Për të adresuar këtë problem, zhvilluesit e faqeve të internetit mund të zbatojnë mbrojtje nga ana e klientit që çaktivizojnë butonat e veprimit thelbësor, përveç nëse zbulohet një lëvizje e miut ose shtypje e tastierës e inicuar nga përdoruesi. Disa platforma, duke përfshirë Dropbox, tashmë përdorin mekanizma të tillë mbrojtës për të parandaluar ndërveprimet e paautorizuara.

Si një zgjidhje afatgjatë, ekspertët e sigurisë rekomandojnë që shitësit e shfletuesit të vendosin standarde të reja të ngjashme me opsionet X-Frame për të zbutur në mënyrë efektive sulmet e bazuara në klikimin e dyfishtë.

Një kthesë e re në Clickjacking

DoubleClickjacking është një evolucion i teknikave të klikimeve të dokumentuara mirë, duke shfrytëzuar boshllëqet delikate kohore midis veprimeve të përdoruesit për të ndërruar elementet legjitime të UI me ato mashtruese në një çast.

Ky zbulim pason një zbulim të mëparshëm të falsifikimit të tërthortë të dritareve (gjeste-jacking), një tjetër variant i klikimit. Kjo teknikë i bind përdoruesit të shtypin ose mbajnë tastet si Enter ose Space në një sajt të komprometuar, duke nisur veprime të paqëllimshme.

Në platforma të tilla si Coinbase dhe Yahoo!, sulmuesit mund të përdorin mashtrimin me gjeste për të rrëmbyer llogaritë. Nëse një përdorues i regjistruar viziton një uebsajt të pasigurt dhe shtyp Enter ose Space, ai mund të autorizojë pa e ditur një aplikacion mashtrues OAuth. Kjo është e mundur sepse të dyja platformat lejojnë aplikacionet OAuth të kërkojnë akses të gjerë dhe të caktojnë identifikues të parashikueshëm statik në butonat e autorizimit, duke i bërë ato të ndjeshme ndaj shfrytëzimit.

Ndërsa metodat e klikimeve vazhdojnë të evoluojnë, ekipet e sigurisë duhet të miratojnë mbrojtje proaktive për të mbrojtur ndërveprimet e përdoruesve nga kërcënimet gjithnjë e më të sofistikuara.

Po ngarkohet...