Експлойт DoubleClickjacking
Аналітики загроз виявили нещодавно ідентифікований клас уразливостей на основі часу, які використовують послідовність подвійного клацання для здійснення атак клікджекінгу та несанкціонованого доступу до облікових записів на численних важливих веб-сайтах. Ця техніка, яка отримала назву DoubleClickjacking, представляє новий підхід до маніпулювання інтерфейсом користувача, який обходить існуючі заходи безпеки.
Зміст
Новий підхід до клікджекінгу
На відміну від традиційних методів клікджекінгу, які покладаються на один клік користувача, DoubleClickjacking використовує коротку затримку між двома послідовними клацаннями. Хоча це може здатися незначною зміною, воно фактично обходить засоби захисту, такі як заголовок X-Frame-Options і налаштування файлів cookie SameSite: Lax/Strict.
Клікджекінг, також відомий як зміна інтерфейсу користувача, змушує користувачів взаємодіяти з елементами, які вони вважають нешкідливими, наприклад кнопками, лише для того, щоб ініціювати ненавмисні дії, зокрема викрадання даних або порушення безпеки. DoubleClickjacking удосконалює цю концепцію, використовуючи інтервал між клацаннями, дозволяючи зловмисникам ігнорувати елементи керування безпекою та викрадати облікові записи з мінімальною участю користувача.
Як працює атака
Техніка розгортається в такій послідовності:
- Користувач відвідує шахрайський веб-сайт, який або автоматично відкриває нову вкладку браузера, або пропонує йому це зробити.
- Це нове вікно, яке може відображатися як звичайна перевірка CAPTCHA, пропонує користувачеві двічі клацнути.
- Коли відбувається подвійне клацання, вихідний сайт непомітно переспрямовує на шкідливу сторінку, наприклад запит на авторизацію OAuth.
- Одночасно спливаюче вікно закривається, що спонукає користувача неусвідомлено схвалити критичний запит на дозвіл на оригінальному сайті.
Оскільки більшість засобів захисту Інтернету розроблено для протидії лише поодиноким вимушеним клацанням миші, цей метод фактично обходить звичайні засоби захисту. Такі заходи, як X-Frame-Options, файли cookie SameSite і політика безпеки вмісту (CSP), не можуть пом’якшити цю загрозу.
Запобіжні заходи та довгострокові рішення
Щоб вирішити цю проблему, розробники веб-сайтів можуть застосувати засоби захисту на стороні клієнта, які вимикають основні кнопки дій, якщо не буде виявлено рух миші або натискання клавіші, ініційоване користувачем. Деякі платформи, включно з Dropbox, уже використовують такі захисні механізми для запобігання неавторизованій взаємодії.
Як довгострокове рішення експерти з безпеки рекомендують постачальникам веб-переглядачів встановити нові стандарти, схожі на X-Frame-Options, щоб ефективно пом’якшувати атаки на основі подвійного клацання.
Новий поворот у клікджекінгу
DoubleClickjacking — це еволюція добре задокументованих методів клікджекінгу, які використовують тонкі часові проміжки між діями користувача, щоб миттєво замінити легітимні елементи інтерфейсу користувача оманливими.
Це розкриття слідує за попереднім викриттям підробки між вікнами (джекінг жестами), ще одного варіанту клікджекінгу. Ця техніка переконує користувачів натискати або утримувати клавіші, як-от Enter або Space, на скомпрометованому сайті, ініціюючи ненавмисні дії.
На таких платформах, як Coinbase і Yahoo!, зловмисники можуть використовувати жести для викрадення облікових записів. Якщо користувач, який увійшов у систему, відвідує небезпечний веб-сайт і натискає клавішу Enter або пробіл, він може несвідомо авторизувати фальшиву програму OAuth. Це можливо, оскільки обидві платформи дозволяють програмам OAuth запитувати широкий доступ і призначати передбачувані статичні ідентифікатори кнопкам авторизації, що робить їх сприйнятливими до використання.
Оскільки методи клікджекінгу продовжують розвиватися, команди безпеки повинні застосовувати проактивні засоби захисту, щоб захистити взаємодію користувачів від дедалі складніших загроз.