DoubleClickjacking Exploit
Natuklasan ng mga analyst ng pagbabanta ang isang bagong natukoy na klase ng mga kahinaan na nakabatay sa timing na nagsasamantala sa isang double-click na sequence upang paganahin ang mga pag-atake ng clickjacking at hindi awtorisadong pag-access sa account sa maraming mahahalagang website. Ang diskarteng ito, na tinatawag na DoubleClickjacking, ay nagpapakilala ng isang bagong diskarte sa pagmamanipula ng UI na umiiwas sa mga kasalukuyang hakbang sa seguridad.
Talaan ng mga Nilalaman
Isang Bagong Diskarte sa Clickjacking
Hindi tulad ng tradisyonal na mga paraan ng clickjacking na umaasa sa iisang pag-click ng user, ginagamit ng DoubleClickjacking ang maikling pagkaantala sa pagitan ng dalawang magkasunod na pag-click. Bagama't ito ay tila isang maliit na pagbabago, ito ay epektibong lumalampas sa mga proteksyon tulad ng X-Frame-Options na header at SameSite: Lax/Strict na mga setting ng cookie.
Ang clickjacking, na kilala rin bilang UI redressing, ay nililinlang ang mga user na makipag-ugnayan sa mga elementong sa tingin nila ay hindi nakakapinsala—gaya ng mga button—para lang mag-trigger ng mga hindi sinasadyang pagkilos, kabilang ang data exfiltration o mga paglabag sa seguridad. Pinipino ng DoubleClickjacking ang konseptong ito sa pamamagitan ng pagsasamantala sa pagitan ng mga pag-click, na nagpapahintulot sa mga umaatake na i-override ang mga kontrol sa seguridad at i-hijack ang mga account na may kaunting paglahok ng user.
Paano Gumagana ang Pag-atake
Ang pamamaraan ay nagbubukas sa sumusunod na pagkakasunud-sunod:
- Bumisita ang isang user sa isang mapanlinlang na website na awtomatikong magbubukas ng bagong tab ng browser o mag-uudyok sa kanila na gawin ito.
- Ang bagong window na ito, na maaaring lumabas bilang isang nakagawiang pag-verify ng CAPTCHA, ay nagtuturo sa user na mag-double click.
- Habang nagaganap ang pag-double click, palihim na nagre-redirect ang orihinal na site sa isang nakakahamak na pahina—gaya ng kahilingan sa awtorisasyon ng OAuth.
- Kasabay nito, nagsasara ang pop-up window, na humahantong sa user na aprubahan ang isang kritikal na kahilingan sa pahintulot sa orihinal na site nang hindi nalalaman.
Dahil ang karamihan sa mga panlaban sa seguridad sa Web ay idinisenyo upang kontrahin ang mga solong sapilitang pag-click lamang, epektibong nilalampasan ng pamamaraang ito ang mga karaniwang pananggalang. Ang mga hakbang tulad ng X-Frame-Options, SameSite cookies, at Content Security Policy (CSP) ay hindi maaaring magaan ang banta na ito.
Mga Paraang Pang-iwas at Pangmatagalang Solusyon
Upang matugunan ang isyung ito, maaaring ipatupad ng mga developer ng website ang mga proteksyon sa panig ng kliyente na hindi pinapagana ang mga mahahalagang pindutan ng pagkilos maliban kung may natukoy na paggalaw ng mouse o keypress na pinasimulan ng user. Ang ilang mga platform, kabilang ang Dropbox, ay gumagamit na ng mga ganitong mekanismo ng pagtatanggol upang maiwasan ang mga hindi awtorisadong pakikipag-ugnayan.
Bilang isang pangmatagalang solusyon, inirerekomenda ng mga eksperto sa seguridad na magtatag ng mga bagong pamantayan ang mga vendor ng browser na katulad ng X-Frame-Options upang epektibong mabawasan ang mga pag-atake na nakabatay sa dobleng pag-click.
Isang Bagong Twist sa Clickjacking
Ang DoubleClickjacking ay isang ebolusyon ng well-documented na mga diskarte sa clickjacking, na sinasamantala ang mga banayad na agwat sa timing sa pagitan ng mga aksyon ng user upang ipagpalit ang mga lehitimong elemento ng UI sa mga mapanlinlang sa isang iglap.
Ang pagbubunyag na ito ay kasunod ng naunang paghahayag ng cross-window na pamemeke (gesture-jacking), isa pang variant ng clickjacking. Ang diskarteng iyon ay humihikayat sa mga user na pindutin o hawakan ang mga key tulad ng Enter o Space sa isang nakompromisong site, na nagpapasimula ng mga hindi sinasadyang pagkilos.
Sa mga platform tulad ng Coinbase at Yahoo!, maaaring gamitin ng mga umaatake ang gesture-jacking upang ma-hijack ang mga account. Kung ang isang naka-log-in na user ay bumisita sa isang hindi ligtas na website at pinindot ang Enter o Space, maaari nilang hindi sinasadyang pahintulutan ang isang masamang OAuth na application. Posible ito dahil pinapayagan ng parehong platform ang mga application ng OAuth na humiling ng malawak na pag-access at magtalaga ng mga predictable, static na identifier sa mga button ng awtorisasyon, na ginagawang madaling kapitan ng pagsasamantala.
Habang patuloy na umuunlad ang mga paraan ng clickjacking, ang mga security team ay dapat magpatibay ng mga proactive na depensa upang mapangalagaan ang mga pakikipag-ugnayan ng user mula sa mga mas sopistikadong banta.