DoubleClickjacking Exploit

అనేక ముఖ్యమైన వెబ్‌సైట్‌లలో క్లిక్‌జాకింగ్ దాడులు మరియు అనధికారిక ఖాతా యాక్సెస్‌ను ప్రారంభించడానికి డబుల్-క్లిక్ క్రమాన్ని ఉపయోగించుకునే టైమింగ్-ఆధారిత దుర్బలత్వాల యొక్క కొత్తగా గుర్తించబడిన తరగతిని థ్రెట్ విశ్లేషకులు కనుగొన్నారు. DoubleClickjackingగా పిలువబడే ఈ సాంకేతికత, ఇప్పటికే ఉన్న భద్రతా చర్యలను తప్పించుకునే UI మానిప్యులేషన్‌కు ఒక నవల విధానాన్ని పరిచయం చేస్తుంది.

క్లిక్‌జాకింగ్‌కు కొత్త విధానం

ఒకే వినియోగదారు క్లిక్‌పై ఆధారపడే సాంప్రదాయ క్లిక్‌జాకింగ్ పద్ధతుల వలె కాకుండా, డబుల్‌క్లిక్‌జాకింగ్ రెండు వరుస క్లిక్‌ల మధ్య స్వల్ప ఆలస్యాన్ని ప్రభావితం చేస్తుంది. ఇది చిన్న మార్పుగా అనిపించినప్పటికీ, ఇది X-Frame-Options హెడర్ మరియు SameSite: Lax/Strict కుక్కీ సెట్టింగ్‌ల వంటి రక్షణలను సమర్థవంతంగా దాటవేస్తుంది.

UI రిడ్రెసింగ్ అని కూడా పిలువబడే క్లిక్‌జాకింగ్, డేటా ఎక్స్‌ఫిల్ట్రేషన్ లేదా భద్రతా ఉల్లంఘనలతో సహా అనాలోచిత చర్యలను ట్రిగ్గర్ చేయడానికి మాత్రమే-బటన్‌ల వంటి హానిచేయని అంశాలతో పరస్పర చర్య చేయడానికి వినియోగదారులను మోసం చేస్తుంది. DoubleClickjacking క్లిక్‌ల మధ్య విరామాన్ని ఉపయోగించడం ద్వారా ఈ భావనను మెరుగుపరుస్తుంది, దాడి చేసేవారు భద్రతా నియంత్రణలను భర్తీ చేయడానికి మరియు ఖాతాలను అతి తక్కువ వినియోగదారు ప్రమేయంతో హైజాక్ చేయడానికి అనుమతిస్తుంది.

దాడి ఎలా పనిచేస్తుంది

సాంకేతికత క్రింది క్రమంలో విప్పుతుంది:

• ఒక వినియోగదారు మోసపూరిత వెబ్‌సైట్‌ను సందర్శిస్తారు, అది కొత్త బ్రౌజర్ ట్యాబ్‌ను స్వయంచాలకంగా తెరుస్తుంది లేదా అలా చేయమని వారిని ప్రాంప్ట్ చేస్తుంది.
• ఈ కొత్త విండో, సాధారణ CAPTCHA ధృవీకరణ వలె కనిపించవచ్చు, వినియోగదారుని డబుల్-క్లిక్ చేయమని నిర్దేశిస్తుంది.
• డబుల్-క్లిక్ సంభవించినప్పుడు, అసలు సైట్ రహస్యంగా OAuth అధికార అభ్యర్థన వంటి హానికరమైన పేజీకి దారి మళ్లిస్తుంది.
• అదే సమయంలో, పాప్-అప్ విండో మూసివేయబడుతుంది, వినియోగదారుకు తెలియకుండానే అసలు సైట్‌లో క్లిష్టమైన అనుమతి అభ్యర్థనను ఆమోదించేలా చేస్తుంది.

చాలా వెబ్ సెక్యూరిటీ డిఫెన్స్‌లు ఒకే బలవంతపు క్లిక్‌లను ఎదుర్కోవడానికి రూపొందించబడినందున, ఈ పద్ధతి సాంప్రదాయిక రక్షణలను సమర్థవంతంగా దాటవేస్తుంది. X-Frame-Options, SameSite కుక్కీలు మరియు కంటెంట్ సెక్యూరిటీ పాలసీ (CSP) వంటి చర్యలు ఈ ముప్పును తగ్గించలేవు.

నివారణ చర్యలు మరియు దీర్ఘకాలిక పరిష్కారాలు

ఈ సమస్యను పరిష్కరించడానికి, వెబ్‌సైట్ డెవలపర్‌లు వినియోగదారు ప్రారంభించిన మౌస్ మూవ్‌మెంట్ లేదా కీప్రెస్‌ని గుర్తించకపోతే అవసరమైన చర్య బటన్‌లను నిలిపివేసే క్లయింట్-వైపు రక్షణలను అమలు చేయవచ్చు. డ్రాప్‌బాక్స్‌తో సహా కొన్ని ప్లాట్‌ఫారమ్‌లు, అనధికార పరస్పర చర్యలను నిరోధించడానికి ఇప్పటికే ఇటువంటి డిఫెన్సివ్ మెకానిజమ్‌లను ఉపయోగిస్తున్నాయి.

దీర్ఘకాలిక పరిష్కారంగా, డబుల్-క్లిక్ ఆధారిత దాడులను సమర్థవంతంగా తగ్గించడానికి బ్రౌజర్ విక్రేతలు X-ఫ్రేమ్-ఆప్షన్‌లకు సమానమైన కొత్త ప్రమాణాలను ఏర్పాటు చేయాలని భద్రతా నిపుణులు సిఫార్సు చేస్తున్నారు.

క్లిక్‌జాకింగ్‌పై కొత్త ట్విస్ట్

DoubleClickjacking అనేది చక్కగా డాక్యుమెంట్ చేయబడిన క్లిక్‌జాకింగ్ టెక్నిక్‌ల యొక్క పరిణామం, వినియోగదారు చర్యల మధ్య సూక్ష్మ సమయ అంతరాలను ఉపయోగించడం ద్వారా చట్టబద్ధమైన UI మూలకాలను మోసపూరితమైన వాటితో తక్షణమే మార్చుకోవచ్చు.

ఈ బహిర్గతం క్రాస్-విండో ఫోర్జరీ (సంజ్ఞ-జాకింగ్), మరొక క్లిక్‌జాకింగ్ వేరియంట్ యొక్క మునుపటి వెల్లడిని అనుసరిస్తుంది. ఆ సాంకేతికత రాజీపడిన సైట్‌లో Enter లేదా Space వంటి కీలను నొక్కడానికి లేదా పట్టుకోవడానికి వినియోగదారులను ఒప్పించి, అనాలోచిత చర్యలను ప్రారంభిస్తుంది.

Coinbase మరియు Yahoo! వంటి ప్లాట్‌ఫారమ్‌లలో, దాడి చేసేవారు ఖాతాలను హైజాక్ చేయడానికి సంజ్ఞ-జాకింగ్‌ను ఉపయోగించుకోవచ్చు. లాగిన్ అయిన వినియోగదారు అసురక్షిత వెబ్‌సైట్‌ను సందర్శించి, Enter లేదా Spaceని నొక్కితే, వారు తెలియకుండానే మోసపూరిత OAuth అప్లికేషన్‌ను ప్రామాణీకరించవచ్చు. రెండు ప్లాట్‌ఫారమ్‌లు OAuth అప్లికేషన్‌లను విస్తృత యాక్సెస్‌ని అభ్యర్థించడానికి అనుమతిస్తాయి మరియు ప్రామాణీకరణ బటన్‌లకు ఊహాజనిత, స్టాటిక్ ఐడెంటిఫైయర్‌లను కేటాయించి, వాటిని దోపిడీకి గురి చేసేలా చేయడం వల్ల ఇది సాధ్యమవుతుంది.

క్లిక్‌జాకింగ్ పద్ధతులు అభివృద్ధి చెందుతూనే ఉన్నందున, పెరుగుతున్న అధునాతన బెదిరింపుల నుండి వినియోగదారు పరస్పర చర్యలను రక్షించడానికి భద్రతా బృందాలు తప్పనిసరిగా చురుకైన రక్షణను అనుసరించాలి.