DoubleClickjacking Exploit
Аналитичари претњи открили су новоидентификовану класу рањивости заснованих на времену које искоришћавају секвенцу двоструког клика да би омогућиле нападе кликања и неовлашћеног приступа налогу на бројним значајним веб локацијама. Ова техника, названа ДоублеЦлицкјацкинг, уводи нови приступ манипулацији корисничког интерфејса који заобилази постојеће мере безбедности.
Преглед садржаја
Нови приступ Цлицкјацкинг-у
За разлику од традиционалних метода кликања које се ослањају на један клик корисника, ДоублеЦлицкјацкинг користи кратко одлагање између два узастопна клика. Иако ово може изгледати као мањи помак, ефикасно заобилази заштите као што су заглавље Кс-Фраме-Оптионс и СамеСите: Лак/Стрицт подешавања колачића.
Цлицкјацкинг, такође познат као УИ редрессинг, обмањује кориснике да ступе у интеракцију са елементима које сматрају безопасним — као што су дугмад — само да би покренули ненамерне радње, укључујући ексфилтрацију података или нарушавање безбедности. ДоублеЦлицкјацкинг рафинира овај концепт тако што искоришћава интервал између кликова, омогућавајући нападачима да надјачају безбедносне контроле и отму налоге уз минимално учешће корисника.
Како функционише напад
Техника се одвија у следећем редоследу:
- Корисник посећује лажну веб локацију која или аутоматски отвара нову картицу прегледача или их тражи да то учине.
- Овај нови прозор, који се може појавити као рутинска ЦАПТЦХА верификација, упућује корисника да двапут кликне.
- Како дође до двоструког клика, оригинални сајт се кришом преусмерава на злонамерну страницу—као што је захтев за ОАутх ауторизацију.
- Истовремено, искачући прозор се затвара, што наводи корисника да несвесно одобри критични захтев за дозволу на оригиналном сајту.
Пошто је већина веб безбедносних одбрана дизајнирана да се супротстави само појединачним принудним кликовима, овај метод ефикасно заобилази конвенционалне мере заштите. Мере као што су Кс-Фраме-Оптионс, СамеСите колачићи и Политика безбедности садржаја (ЦСП) не могу да ублаже ову претњу.
Превентивне мере и дугорочна решења
Да би решили овај проблем, програмери веб локација могу применити заштиту на страни клијента која онемогућава тастере за основне радње осим ако се не открије померање миша или притискање тастера које је покренуо корисник. Неке платформе, укључујући Дропбок, већ користе такве одбрамбене механизме за спречавање неовлашћених интеракција.
Као дугорочно решење, стручњаци за безбедност препоручују да произвођачи претраживача успоставе нове стандарде сличне Кс-Фраме-Оптионс како би ефикасно ублажили нападе засноване на двоструком клику.
Нови заокрет у Цлицкјацкинг-у
ДоублеЦлицкјацкинг је еволуција добро документованих техника кликања, искоришћавајући суптилне временске празнине између радњи корисника за замену легитимних елемената корисничког интерфејса са варљивим у трену.
Ово откривање прати раније откриће фалсификовања унакрсних прозора (гестификацију), још једне варијанте кликћека. Та техника убеђује кориснике да притисну или задрже тастере попут Ентер или Спаце на компромитованом сајту, покрећући нежељене радње.
На платформама као што су Цоинбасе и Иахоо!, нападачи би могли да искористе гестикулацију за отмицу налога. Ако пријављен корисник посети небезбедну веб локацију и притисне Ентер или размак, могао би несвесно да овласти лажну ОАутх апликацију. Ово је могуће јер обе платформе дозвољавају ОАутх апликацијама да захтевају широк приступ и додељују предвидљиве, статичке идентификаторе дугмадима за ауторизацију, чинећи их подложним искоришћавању.
Како методе кликања настављају да се развијају, безбедносни тимови морају усвојити проактивну одбрану како би заштитили интеракције корисника од све софистициранијих претњи.