DoubleClickjacking 漏洞

威胁分析师发现了一类新发现的基于时间的漏洞，该漏洞利用双击序列来发起点击劫持攻击，并在许多重要网站上未经授权访问帐户。这种技术被称为 DoubleClickjacking，它引入了一种新颖的 UI 操纵方法，可以绕过现有的安全措施。

点击劫持的新方法

与依赖单次用户点击的传统点击劫持方法不同，DoubleClickjacking 利用了两次连续点击之间的短暂延迟。虽然这似乎是一个小小的转变，但它有效地绕过了 X-Frame-Options 标头和 SameSite：Lax/Strict Cookie 设置等保护措施。

点击劫持，又称为 UI 重整，会诱使用户与他们认为无害的元素（例如按钮）进行交互，从而触发意外操作，包括数据泄露或安全漏洞。DoubleClickjacking 通过利用点击之间的间隔完善了这一概念，允许攻击者以最少的用户参与度超越安全控制并劫持帐户。

攻击如何进行

该技术按以下顺序展开：

• 用户访问欺诈性网站，该网站会自动打开新的浏览器选项卡或提示他们这样做。
• 这个新窗口可能以常规 CAPTCHA 验证的形式出现，指示用户双击。
• 双击时，原始站点会秘密重定向到恶意页面 - 例如 OAuth 授权请求。
• 同时，弹窗关闭，导致用户在不知情的情况下在原网站上批准关键的权限请求。

由于大多数网络安全防御措施仅针对单次强制点击，因此这种方法可以有效绕过传统防护措施。X-Frame-Options、SameSite cookies 和内容安全策略 (CSP) 等措施无法缓解这种威胁。

预防措施和长期解决方案

为了解决这个问题，网站开发人员可以实施客户端保护措施，除非检测到用户发起的鼠标移动或按键，否则禁用必要的操作按钮。包括 Dropbox 在内的一些平台已经采用此类防御机制来防止未经授权的交互。

作为长期解决方案，安全专家建议浏览器供应商建立类似于X-Frame-Options的新标准，以有效缓解基于双击的攻击。

点击劫持的新变化

DoubleClickjacking 是已有详细记录的点击劫持技术的演变，它利用用户操作之间微妙的时间差距，瞬间将合法的 UI 元素与欺骗性元素交换。

此次披露是继之前披露的跨窗口伪造（手势劫持）之后的又一点击劫持变体。该技术诱使用户在受感染的网站上按下或按住 Enter 或 Space 等键，从而启动非预期操作。

在 Coinbase 和 Yahoo! 等平台上，攻击者可以利用手势劫持来劫持账户。如果登录用户访问不安全的网站并按下 Enter 或 Space 键，他们可能会在不知情的情况下授权恶意 OAuth 应用程序。这是可能的，因为这两个平台都允许 OAuth 应用程序请求广泛访问权限并为授权按钮分配可预测的静态标识符，从而使它们容易受到利用。

随着点击劫持方法不断发展，安全团队必须采取主动防御措施来保护用户交互免受日益复杂的威胁。