DoubleClickjacking Saldırısı
Tehdit analistleri, çok sayıda önemli web sitesinde tıklama gaspı saldırıları ve yetkisiz hesap erişimini etkinleştirmek için çift tıklama dizisini kullanan yeni tanımlanmış bir zamanlama tabanlı güvenlik açığı sınıfını ortaya çıkardı. DoubleClickjacking olarak adlandırılan bu teknik, mevcut güvenlik önlemlerini aşan kullanıcı arayüzü manipülasyonuna yönelik yeni bir yaklaşım sunuyor.
İçindekiler
Clickjacking’e Yeni Bir Yaklaşım
Tek bir kullanıcı tıklamasına dayanan geleneksel tıklama gaspı yöntemlerinden farklı olarak, DoubleClickjacking iki ardışık tıklama arasındaki kısa gecikmeden yararlanır. Bu küçük bir değişiklik gibi görünse de, X-Frame-Options başlığı ve SameSite: Lax/Strict çerez ayarları gibi korumaları etkili bir şekilde atlatır.
Kullanıcı arayüzü düzeltmesi olarak da bilinen tıklama korsanlığı, kullanıcıları zararsız olarak algıladıkları öğelerle (örneğin düğmeler) etkileşime girmeye kandırır ve veri sızdırma veya güvenlik ihlalleri gibi istenmeyen eylemleri tetikler. DoubleClickjacking, tıklamalar arasındaki aralığı istismar ederek bu kavramı geliştirir ve saldırganların güvenlik kontrollerini geçersiz kılmasına ve minimum kullanıcı katılımıyla hesapları ele geçirmesine olanak tanır.
Saldırı Nasıl Çalışır?
Teknik şu sırayla işleniyor:
- Bir kullanıcı, otomatik olarak yeni bir tarayıcı sekmesi açan veya kullanıcıdan bunu yapmasını isteyen sahte bir web sitesini ziyaret eder.
- Rutin bir CAPTCHA doğrulaması olarak görünebilecek bu yeni pencere, kullanıcıya çift tıklama talimatı verir.
- Çift tıklama gerçekleştiğinde, orijinal site gizlice kötü amaçlı bir sayfaya (örneğin bir OAuth yetkilendirme isteği) yönlendirilir.
- Aynı anda açılan pencere kapanıyor ve kullanıcı farkında olmadan orijinal sitede kritik bir izin isteğini onaylamaya yöneliyor.
Çoğu Web güvenlik savunması yalnızca tek zorunlu tıklamaları engellemek için tasarlandığından, bu yöntem geleneksel güvenlik önlemlerini etkili bir şekilde atlatır. X-Frame-Options, SameSite çerezleri ve İçerik Güvenlik Politikası (CSP) gibi önlemler bu tehdidi hafifletemez.
Önleyici Tedbirler ve Uzun Vadeli Çözümler
Bu sorunu gidermek için web sitesi geliştiricileri, kullanıcı tarafından başlatılan bir fare hareketi veya tuş basımı algılanmadığı sürece temel eylem düğmelerini devre dışı bırakan istemci tarafı korumaları uygulayabilir. Dropbox dahil bazı platformlar, yetkisiz etkileşimleri önlemek için zaten bu tür savunma mekanizmaları kullanıyor.
Güvenlik uzmanları, uzun vadeli bir çözüm olarak, tarayıcı satıcılarının çift tıklama tabanlı saldırıları etkili bir şekilde azaltmak için X-Frame-Options'a benzer yeni standartlar oluşturmasını öneriyor.
Clickjacking’e Yeni Bir Bakış
DoubleClickjacking, iyi belgelenmiş tıklama kaçırma tekniklerinin bir evrimidir ve kullanıcı eylemleri arasındaki ince zamanlama boşluklarından yararlanarak meşru kullanıcı arayüzü öğelerini anında aldatıcı olanlarla değiştirir.
Bu ifşa, daha önce çapraz pencere sahteciliğinin (jest-jacking) ifşa edilmesinin ardından geldi, bu da başka bir tıklama gaspı çeşididir. Bu teknik, kullanıcıları tehlikeye atılmış bir sitede Enter veya Boşluk gibi tuşlara basmaya veya basılı tutmaya ikna ederek istenmeyen eylemleri başlatır.
Coinbase ve Yahoo! gibi platformlarda saldırganlar hesapları ele geçirmek için jest-jacking'i kullanabilir. Oturum açmış bir kullanıcı güvenli olmayan bir web sitesini ziyaret eder ve Enter veya Boşluk tuşuna basarsa, bilmeden bir sahte OAuth uygulamasını yetkilendirebilir. Bu, her iki platformun da OAuth uygulamalarının geniş erişim talep etmesine ve yetkilendirme düğmelerine öngörülebilir, statik tanımlayıcılar atamasına izin vermesi ve bunları istismara açık hale getirmesi nedeniyle mümkündür.
Tıklama ele geçirme yöntemleri gelişmeye devam ettikçe, güvenlik ekiplerinin kullanıcı etkileşimlerini giderek daha karmaşık hale gelen tehditlerden korumak için proaktif savunmalar benimsemesi gerekiyor.