DoubleClickjacking Exploit

அச்சுறுத்தல் பகுப்பாய்வாளர்கள் புதிதாக அடையாளம் காணப்பட்ட நேர அடிப்படையிலான பாதிப்புகளை கண்டுபிடித்துள்ளனர், இது பல குறிப்பிடத்தக்க வலைத்தளங்களில் கிளிக்ஜாக்கிங் தாக்குதல்கள் மற்றும் அங்கீகரிக்கப்படாத கணக்கு அணுகலை செயல்படுத்த இரட்டை கிளிக் வரிசையைப் பயன்படுத்துகிறது. DoubleClickjacking என அழைக்கப்படும் இந்த நுட்பம், தற்போதுள்ள பாதுகாப்பு நடவடிக்கைகளைத் தவிர்க்கும் UI கையாளுதலுக்கான ஒரு புதிய அணுகுமுறையை அறிமுகப்படுத்துகிறது.

கிளிக்ஜாக்கிங்கிற்கு ஒரு புதிய அணுகுமுறை

ஒரு பயனர் கிளிக் செய்வதை நம்பியிருக்கும் பாரம்பரிய கிளிக் ஜாக்கிங் முறைகளைப் போலன்றி, டபுள் கிளிக் ஜாக்கிங் இரண்டு தொடர்ச்சியான கிளிக்குகளுக்கு இடையேயான சுருக்கமான தாமதத்தை மேம்படுத்துகிறது. இது ஒரு சிறிய மாற்றமாகத் தோன்றினாலும், X-Frame-Options தலைப்பு மற்றும் SameSite: Lax/Strict குக்கீ அமைப்புகள் போன்ற பாதுகாப்புகளைத் திறம்பட கடந்து செல்கிறது.

UI redressing என்றும் அழைக்கப்படும் Clickjacking, தரவு வெளியேற்றம் அல்லது பாதுகாப்பு மீறல்கள் உட்பட, திட்டமிடப்படாத செயல்களைத் தூண்டுவதற்கு மட்டுமே, பொத்தான்கள் போன்ற பாதிப்பில்லாதவை என்று அவர்கள் உணரும் கூறுகளுடன் தொடர்புகொள்வதற்கு பயனர்களை ஏமாற்றுகிறது. DoubleClickjacking கிளிக்குகளுக்கு இடையிலான இடைவெளியைப் பயன்படுத்தி இந்தக் கருத்தைச் செம்மைப்படுத்துகிறது, தாக்குபவர்கள் பாதுகாப்புக் கட்டுப்பாடுகளை மேலெழுதவும், குறைந்தபட்ச பயனர் ஈடுபாட்டுடன் கணக்குகளைக் கடத்தவும் அனுமதிக்கிறது.

தாக்குதல் எவ்வாறு செயல்படுகிறது

நுட்பம் பின்வரும் வரிசையில் வெளிப்படுகிறது:

• ஒரு பயனர் ஒரு மோசடி வலைத்தளத்தைப் பார்வையிடுகிறார், அது ஒரு புதிய உலாவி தாவலைத் தானாகவே திறக்கும் அல்லது அவ்வாறு செய்யும்படி அவர்களைத் தூண்டும்.
• இந்த புதிய சாளரம், வழக்கமான CAPTCHA சரிபார்ப்பாக தோன்றலாம், பயனரை இருமுறை கிளிக் செய்யும்படி அறிவுறுத்துகிறது.
• இருமுறை கிளிக் செய்யும்போது, அசல் தளம் திருட்டுத்தனமாக OAuth அங்கீகாரக் கோரிக்கை போன்ற தீங்கிழைக்கும் பக்கத்திற்குத் திருப்பிவிடும்.
• அதே நேரத்தில், பாப்-அப் சாளரம் மூடுகிறது, இது பயனர் அறியாமல் அசல் தளத்தில் ஒரு முக்கியமான அனுமதி கோரிக்கையை அங்கீகரிக்க வழிவகுக்கிறது.

பெரும்பாலான இணைய பாதுகாப்பு பாதுகாப்புகள் ஒற்றை கட்டாய கிளிக்குகளை எதிர்க்கும் வகையில் வடிவமைக்கப்பட்டுள்ளதால், இந்த முறை வழக்கமான பாதுகாப்புகளை திறம்பட கடந்து செல்கிறது. X-Frame-Options, SameSite குக்கீகள் மற்றும் Content Security Policy (CSP) போன்ற நடவடிக்கைகள் இந்த அச்சுறுத்தலைத் தணிக்க முடியாது.

தடுப்பு நடவடிக்கைகள் மற்றும் நீண்ட கால தீர்வுகள்

இந்தச் சிக்கலைத் தீர்க்க, பயனரால் தொடங்கப்பட்ட மவுஸ் இயக்கம் அல்லது விசை அழுத்தத்தைக் கண்டறியாத வரை, இணையதள டெவலப்பர்கள் கிளையன்ட் பக்கப் பாதுகாப்புகளைச் செயல்படுத்தலாம். டிராப்பாக்ஸ் உட்பட சில தளங்கள், அங்கீகரிக்கப்படாத தொடர்புகளைத் தடுக்க ஏற்கனவே இத்தகைய தற்காப்பு வழிமுறைகளைப் பயன்படுத்துகின்றன.

ஒரு நீண்ட கால தீர்வாக, பாதுகாப்பு வல்லுநர்கள், உலாவி விற்பனையாளர்கள் இரட்டை-கிளிக்-அடிப்படையிலான தாக்குதல்களை திறம்பட குறைக்க X-Frame-Options போன்ற புதிய தரநிலைகளை நிறுவ பரிந்துரைக்கின்றனர்.

கிளிக்ஜாக்கிங்கில் ஒரு புதிய திருப்பம்

DoubleClickjacking என்பது நன்கு ஆவணப்படுத்தப்பட்ட கிளிக் ஜாக்கிங் நுட்பங்களின் பரிணாம வளர்ச்சியாகும், பயனர் செயல்களுக்கு இடையே உள்ள நுட்பமான நேர இடைவெளிகளைப் பயன்படுத்தி, முறையான UI கூறுகளை ஏமாற்றும் வகையில் உடனடியாக மாற்றுகிறது.

இந்த வெளிப்பாடு குறுக்கு-சாளர மோசடி (சைகை-ஜாக்கிங்), மற்றொரு கிளிக்ஜாக்கிங் மாறுபாட்டின் முந்தைய வெளிப்பாட்டைத் தொடர்ந்து வருகிறது. சமரசம் செய்யப்பட்ட தளத்தில் உள்ள Enter அல்லது Space போன்ற விசைகளை அழுத்தவும் அல்லது பிடிக்கவும் பயனர்களை அந்த நுட்பம் தூண்டுகிறது, இது திட்டமிடப்படாத செயல்களைத் தொடங்குகிறது.

Coinbase மற்றும் Yahoo! போன்ற தளங்களில், தாக்குதல் நடத்துபவர்கள் கணக்குகளை அபகரிக்க சைகை-ஜாக்கிங்கைப் பயன்படுத்தலாம். உள்நுழைந்த பயனர் பாதுகாப்பற்ற இணையதளத்தைப் பார்வையிட்டு Enter அல்லது Space ஐ அழுத்தினால், அவர்கள் அறியாமலேயே ஒரு முரட்டு OAuth பயன்பாட்டை அங்கீகரிக்கலாம். இரண்டு இயங்குதளங்களும் OAuth பயன்பாடுகளை பரந்த அணுகலைக் கோர அனுமதிப்பதால், அங்கீகரிக்கப்பட்ட பொத்தான்களுக்கு யூகிக்கக்கூடிய, நிலையான அடையாளங்காட்டிகளை ஒதுக்கி, அவை சுரண்டலுக்கு ஆளாகின்றன.

கிளிக்ஜாக்கிங் முறைகள் தொடர்ந்து உருவாகி வருவதால், பாதுகாப்புக் குழுக்கள், பெருகிய முறையில் அதிநவீன அச்சுறுத்தல்களில் இருந்து பயனர் தொடர்புகளைப் பாதுகாக்க, செயலூக்கமான பாதுகாப்பைக் கடைப்பிடிக்க வேண்டும்.