ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ปัญหา การใช้ประโยชน์จาก DoubleClickjacking

การใช้ประโยชน์จาก DoubleClickjacking

โดย Mezo ใน ปัญหา
แปลเป็น:
ภาษาไทย

นักวิเคราะห์ภัยคุกคามได้เปิดเผยช่องโหว่ใหม่ที่ระบุระยะเวลาซึ่งใช้ประโยชน์จากลำดับการคลิกสองครั้งเพื่อเปิดใช้งานการโจมตีแบบ clickjacking และการเข้าถึงบัญชีโดยไม่ได้รับอนุญาตในเว็บไซต์สำคัญจำนวนมาก เทคนิคนี้เรียกว่า DoubleClickjacking ซึ่งเป็นแนวทางใหม่ในการจัดการ UI ที่สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่มีอยู่

แนวทางใหม่ในการ Clickjacking

ต่างจากวิธีการ clickjacking แบบดั้งเดิมที่อาศัยการคลิกของผู้ใช้เพียงครั้งเดียว DoubleClickjacking ใช้ประโยชน์จากการหน่วงเวลาสั้นๆ ระหว่างการคลิกสองครั้งติดต่อกัน แม้ว่านี่อาจดูเหมือนการเปลี่ยนแปลงเล็กน้อย แต่วิธีนี้สามารถเลี่ยงการป้องกันต่างๆ เช่น ส่วนหัว X-Frame-Options และ SameSite: การตั้งค่าคุกกี้ Lax/Strict ได้อย่างมีประสิทธิภาพ

Clickjacking หรือที่เรียกอีกอย่างว่า UI redressing เป็นการหลอกให้ผู้ใช้โต้ตอบกับองค์ประกอบที่พวกเขาคิดว่าไม่เป็นอันตราย เช่น ปุ่ม เพื่อกระตุ้นให้เกิดการกระทำที่ไม่ได้ตั้งใจ เช่น การขโมยข้อมูลหรือการละเมิดความปลอดภัย DoubleClickjacking ปรับปรุงแนวคิดนี้โดยใช้ประโยชน์จากช่วงเวลาระหว่างการคลิก ทำให้ผู้โจมตีสามารถข้ามการควบคุมความปลอดภัยและแฮ็กบัญชีโดยที่ผู้ใช้มีส่วนเกี่ยวข้องน้อยที่สุด

การโจมตีทำงานอย่างไร

เทคนิคนี้จะดำเนินไปตามลำดับต่อไปนี้:

  • ผู้ใช้เยี่ยมชมเว็บไซต์หลอกลวงที่เปิดแท็บเบราว์เซอร์ใหม่โดยอัตโนมัติหรือแจ้งให้ดำเนินการดังกล่าว
  • หน้าต่างใหม่นี้ซึ่งอาจปรากฏเป็นการตรวจสอบ CAPTCHA ตามปกติ จะแนะนำให้ผู้ใช้คลิกสองครั้ง
  • เมื่อเกิดการดับเบิลคลิก ไซต์เดิมจะเปลี่ยนเส้นทางไปยังเพจที่เป็นอันตรายอย่างแอบๆ เช่น คำขออนุญาต OAuth
  • พร้อมกันนั้นหน้าต่างป๊อปอัปก็จะปิดลง ส่งผลให้ผู้ใช้ทำการอนุมัติคำขออนุญาตที่สำคัญบนไซต์เดิมโดยไม่รู้ตัว

เนื่องจากระบบป้องกันความปลอดภัยบนเว็บส่วนใหญ่ได้รับการออกแบบมาเพื่อป้องกันการคลิกเพียงครั้งเดียว วิธีนี้จึงสามารถหลีกเลี่ยงมาตรการป้องกันแบบเดิมได้อย่างมีประสิทธิภาพ มาตรการต่างๆ เช่น X-Frame-Options, คุกกี้ SameSite และนโยบายรักษาความปลอดภัยเนื้อหา (CSP) ไม่สามารถบรรเทาภัยคุกคามนี้ได้

มาตรการป้องกันและแนวทางแก้ไขระยะยาว

เพื่อแก้ไขปัญหานี้ นักพัฒนาเว็บไซต์สามารถใช้การป้องกันฝั่งไคลเอ็นต์ที่ปิดใช้งานปุ่มการทำงานที่จำเป็น เว้นแต่จะตรวจพบการเคลื่อนไหวเมาส์หรือกดแป้นพิมพ์โดยผู้ใช้ แพลตฟอร์มบางแพลตฟอร์ม เช่น Dropbox ใช้กลไกการป้องกันดังกล่าวเพื่อป้องกันการโต้ตอบที่ไม่ได้รับอนุญาตอยู่แล้ว

เพื่อเป็นแนวทางแก้ไขปัญหาในระยะยาว ผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำให้ผู้จำหน่ายเบราว์เซอร์กำหนดมาตรฐานใหม่ที่คล้ายกับ X-Frame-Options เพื่อลดการโจมตีแบบดับเบิลคลิกอย่างมีประสิทธิภาพ

การเปลี่ยนแปลงครั้งใหม่ของการคลิกแจ็คกิ้ง

DoubleClickjacking คือวิวัฒนาการของเทคนิคการ clickjacking ที่มีการบันทึกไว้เป็นอย่างดี โดยใช้ประโยชน์จากช่องว่างเวลาที่ละเอียดอ่อนระหว่างการกระทำของผู้ใช้เพื่อสลับองค์ประกอบ UI ที่ถูกต้องกับองค์ประกอบที่หลอกลวงได้ในทันที

การเปิดเผยนี้สืบเนื่องจากการเปิดเผยก่อนหน้านี้เกี่ยวกับการปลอมแปลงข้ามหน้าต่าง (การขโมยท่าทาง) ซึ่งเป็นรูปแบบการขโมยคลิกอีกแบบหนึ่ง เทคนิคดังกล่าวจะชักจูงให้ผู้ใช้กดหรือกดปุ่ม เช่น Enter หรือ Space ค้างไว้บนไซต์ที่ถูกบุกรุก ทำให้เกิดการกระทำที่ไม่ได้ตั้งใจ

ในแพลตฟอร์มเช่น Coinbase และ Yahoo! ผู้โจมตีอาจใช้การขโมยข้อมูลด้วยท่าทางเพื่อขโมยบัญชี หากผู้ใช้ที่ล็อกอินเข้าไปที่เว็บไซต์ที่ไม่ปลอดภัยและกด Enter หรือ Space พวกเขาสามารถอนุญาตแอปพลิเคชัน OAuth ที่ไม่ปลอดภัยโดยไม่รู้ตัว ซึ่งเป็นไปได้เพราะทั้งสองแพลตฟอร์มอนุญาตให้แอปพลิเคชัน OAuth ร้องขอการเข้าถึงแบบกว้างๆ และกำหนดตัวระบุแบบคงที่ที่คาดเดาได้ให้กับปุ่มอนุญาต ทำให้เสี่ยงต่อการถูกใช้ประโยชน์

เนื่องจากวิธีการ Clickjacking ยังคงพัฒนาอย่างต่อเนื่อง ทีมงานด้านความปลอดภัยจึงต้องนำการป้องกันเชิงรุกมาใช้เพื่อปกป้องการโต้ตอบของผู้ใช้จากภัยคุกคามที่ซับซ้อนมากขึ้น

กำลังโหลด...