DoubleClickjacking Exploit

Hotanalytiker har avslöjat en nyligen identifierad klass av tidsbaserade sårbarheter som utnyttjar en dubbelklickssekvens för att möjliggöra clickjacking-attacker och obehörig åtkomst till konton på flera betydande webbplatser. Den här tekniken, kallad DoubleClickjacking, introducerar ett nytt tillvägagångssätt för UI-manipulation som kringgår befintliga säkerhetsåtgärder.

Ett nytt tillvägagångssätt för Clickjacking

Till skillnad från traditionella clickjacking-metoder som förlitar sig på ett enda användarklick, utnyttjar DoubleClickjacking den korta fördröjningen mellan två på varandra följande klick. Även om detta kan verka som en mindre förändring, kringgår det effektivt skydd som X-Frame-Options-huvudet och SameSite: Lax/Strict cookie-inställningar.

Clickjacking, även känd som UI-återställning, lurar användare att interagera med element som de uppfattar som ofarliga – som knappar – bara för att utlösa oavsiktliga åtgärder, inklusive dataexfiltrering eller säkerhetsintrång. DoubleClickjacking förfinar detta koncept genom att utnyttja intervallet mellan klick, vilket gör att angripare kan åsidosätta säkerhetskontroller och kapa konton med minimal användarinblandning.

Hur attacken fungerar

Tekniken utvecklas i följande sekvens:

• En användare besöker en bedräglig webbplats som antingen öppnar en ny webbläsarflik automatiskt eller uppmanar dem att göra det.
• Detta nya fönster, som kan visas som en rutinmässig CAPTCHA-verifiering, instruerar användaren att dubbelklicka.
• När dubbelklicket sker, omdirigerar den ursprungliga webbplatsen smygande till en skadlig sida – till exempel en OAuth-auktoriseringsbegäran.
• Samtidigt stängs popup-fönstret, vilket leder till att användaren omedvetet godkänner en kritisk begäran om tillstånd på den ursprungliga webbplatsen.

Eftersom de flesta webbsäkerhetsförsvar är utformade för att motverka endast enstaka påtvingade klick, kringgår denna metod effektivt konventionella skyddsåtgärder. Åtgärder som X-Frame-Options, SameSite-cookies och Content Security Policy (CSP) kan inte mildra detta hot.

Förebyggande åtgärder och långsiktiga lösningar

För att lösa detta problem kan webbutvecklare implementera skydd på klientsidan som inaktiverar viktiga åtgärdsknappar om inte en användarinitierad musrörelse eller tangenttryckning upptäcks. Vissa plattformar, inklusive Dropbox, använder redan sådana defensiva mekanismer för att förhindra obehörig interaktion.

Som en långsiktig lösning rekommenderar säkerhetsexperter att webbläsarleverantörer etablerar nya standarder som liknar X-Frame-Options för att effektivt mildra dubbelklickbaserade attacker.

En ny twist på Clickjacking

DoubleClickjacking är en utveckling av väldokumenterade clickjacking-tekniker som utnyttjar subtila tidsluckor mellan användaråtgärder för att byta ut legitima UI-element med vilseledande element på ett ögonblick.

Denna avslöjande följer en tidigare avslöjande av korsfönsterförfalskning (gest-jacking), en annan clickjacking-variant. Den tekniken övertalar användare att trycka på eller hålla ner tangenter som Enter eller Mellanslag på en utsatt webbplats, vilket initierar oavsiktliga åtgärder.

På plattformar som Coinbase och Yahoo! kan angripare utnyttja gest-jacking för att kapa konton. Om en inloggad användare besöker en osäker webbplats och trycker på Enter eller Mellanslag, kan de omedvetet auktorisera en osäker OAuth-applikation. Detta är möjligt eftersom båda plattformarna tillåter OAuth-applikationer att begära bred åtkomst och tilldela förutsägbara, statiska identifierare till auktoriseringsknappar, vilket gör dem mottagliga för exploatering.

Allt eftersom klickjackningsmetoderna fortsätter att utvecklas måste säkerhetsteam anta proaktiva försvar för att skydda användarinteraktioner från allt mer sofistikerade hot.