Khai thác DoubleClickjacking
Các nhà phân tích mối đe dọa đã phát hiện ra một lớp lỗ hổng dựa trên thời gian mới được xác định, khai thác chuỗi nhấp đúp để cho phép các cuộc tấn công clickjacking và truy cập tài khoản trái phép trên nhiều trang web quan trọng. Kỹ thuật này, được gọi là DoubleClickjacking, giới thiệu một cách tiếp cận mới để thao túng UI, có thể tránh được các biện pháp bảo mật hiện có.
Mục lục
Một cách tiếp cận mới đối với Clickjacking
Không giống như các phương pháp clickjacking truyền thống dựa trên một cú nhấp chuột của người dùng, DoubleClickjacking tận dụng sự chậm trễ ngắn giữa hai lần nhấp chuột liên tiếp. Mặc dù điều này có vẻ như là một sự thay đổi nhỏ, nhưng nó thực sự bỏ qua các biện pháp bảo vệ như tiêu đề X-Frame-Options và SameSite: Cài đặt cookie Lax/Strict.
Clickjacking, còn được gọi là UI redressing, lừa người dùng tương tác với các thành phần mà họ cho là vô hại—chẳng hạn như các nút—chỉ để kích hoạt các hành động không mong muốn, bao gồm cả việc rò rỉ dữ liệu hoặc vi phạm bảo mật. DoubleClickjacking tinh chỉnh khái niệm này bằng cách khai thác khoảng thời gian giữa các lần nhấp, cho phép kẻ tấn công vượt qua các biện pháp kiểm soát bảo mật và chiếm đoạt tài khoản với sự tham gia tối thiểu của người dùng.
Cuộc tấn công diễn ra như thế nào
Kỹ thuật này được thực hiện theo trình tự sau:
- Người dùng truy cập vào một trang web lừa đảo tự động mở một tab trình duyệt mới hoặc nhắc họ làm như vậy.
- Cửa sổ mới này có thể xuất hiện dưới dạng xác minh CAPTCHA thông thường, hướng dẫn người dùng nhấp đúp.
- Khi nhấp đúp chuột, trang web gốc sẽ tự động chuyển hướng đến một trang độc hại, chẳng hạn như yêu cầu xác thực OAuth.
- Đồng thời, cửa sổ bật lên đóng lại, khiến người dùng vô tình chấp thuận yêu cầu cấp quyền quan trọng trên trang web gốc.
Vì hầu hết các biện pháp bảo vệ an ninh Web được thiết kế để chống lại chỉ một lần nhấp chuột bắt buộc, phương pháp này thực sự bỏ qua các biện pháp bảo vệ thông thường. Các biện pháp như X-Frame-Options, cookie SameSite và Chính sách bảo mật nội dung (CSP) không thể giảm thiểu mối đe dọa này.
Biện pháp phòng ngừa và giải pháp dài hạn
Để giải quyết vấn đề này, các nhà phát triển trang web có thể triển khai các biện pháp bảo vệ phía máy khách để vô hiệu hóa các nút hành động thiết yếu trừ khi phát hiện thấy chuyển động chuột hoặc nhấn phím do người dùng khởi tạo. Một số nền tảng, bao gồm Dropbox, đã sử dụng các cơ chế phòng thủ như vậy để ngăn chặn các tương tác trái phép.
Là một giải pháp lâu dài, các chuyên gia bảo mật khuyến nghị các nhà cung cấp trình duyệt thiết lập các tiêu chuẩn mới tương tự như X-Frame-Options để giảm thiểu hiệu quả các cuộc tấn công bằng cách nhấp đúp.
Một bước ngoặt mới của Clickjacking
DoubleClickjacking là sự phát triển của các kỹ thuật clickjacking đã được ghi chép rõ ràng, khai thác khoảng cách thời gian tinh vi giữa các hành động của người dùng để hoán đổi các thành phần UI hợp lệ thành các thành phần lừa đảo ngay lập tức.
Tiết lộ này theo sau một tiết lộ trước đó về việc làm giả cửa sổ chéo (gesture-jacking), một biến thể khác của clickjacking. Kỹ thuật đó thuyết phục người dùng nhấn hoặc giữ các phím như Enter hoặc Space trên một trang web bị xâm phạm, khởi tạo các hành động không mong muốn.
Trên các nền tảng như Coinbase và Yahoo!, kẻ tấn công có thể tận dụng gesture-jacking để chiếm đoạt tài khoản. Nếu người dùng đã đăng nhập truy cập vào một trang web không an toàn và nhấn Enter hoặc Space, họ có thể vô tình cấp quyền cho một ứng dụng OAuth giả mạo. Điều này có thể xảy ra vì cả hai nền tảng đều cho phép các ứng dụng OAuth yêu cầu quyền truy cập rộng rãi và gán các mã định danh tĩnh có thể dự đoán được cho các nút cấp quyền, khiến chúng dễ bị khai thác.
Khi các phương pháp clickjacking tiếp tục phát triển, các nhóm bảo mật phải áp dụng các biện pháp phòng thủ chủ động để bảo vệ tương tác của người dùng khỏi các mối đe dọa ngày càng tinh vi.