Badacz bezpieczeństwa odkrył nowe zagrożenie cybernetyczne o nazwie DoubleClickjacking Paulosa Yibeloujawniając luki w zabezpieczeniach głównych witryn internetowych i skutecznie omijając istniejące zabezpieczenia przed klikaniem.
Nowe zagrożenie cybernetyczne DoubleClickjacking ujawnia główne luki w zabezpieczeniach witryny
DoubleClickjacking to klasa podatności oparta na czasie, która wykorzystuje sekwencję podwójnego kliknięcia, a nie pojedyncze kliknięcie. Yibelo wyjaśnił, że ta drobna zmiana umożliwia nowe ataki manipulujące interfejsem użytkownika, które mogą ominąć wszystkie znane zabezpieczenia przed kliknięciami, w tym nagłówek X-Frame-Options i pliki cookie SameSite.
Clickjacking, znany również jako przywracanie interfejsu użytkownika, nakłania użytkowników do klikania pozornie nieszkodliwych elementów strony internetowej, co może prowadzić do wdrożenia złośliwego oprogramowania lub kradzieży wrażliwych danych. Technika DoubleClickjacking wykorzystuje przerwę czasową pomiędzy pierwszym a drugim kliknięciem w celu przeprowadzenia ataków przy minimalnej interakcji użytkownika.
DoubleClickjacking składa się z kilku etapów. Osoba atakująca tworzy niewinnie wyglądającą witrynę internetową, która zachęca użytkowników do dwukrotnego kliknięcia przycisku, co może wyglądać na weryfikację CAPTCHA. Gdy użytkownik inicjuje dwukrotne kliknięcie, osoba atakująca wykorzystuje obiekt JavaScript Window Location, aby potajemnie przekierować na złośliwą stronę, taką jak okno dialogowe autoryzacji OAuth. Gdy górne okno się zamyka, użytkownik nieświadomie udziela dostępu, zatwierdzając okno dialogowe potwierdzenia uprawnień.
Yibelo zauważył, że większość aplikacji i frameworków internetowych zaprojektowano tak, aby ograniczać ryzyko związane z pojedynczymi wymuszonymi kliknięciami, przez co obecne zabezpieczenia przed przechwytywaniem kliknięć są niewystarczające w przypadku tego nowego wariantu. Atak wykorzystuje czas i sekwencję zdarzeń w sposób, z którym istniejące protokoły bezpieczeństwa nie mogą skutecznie sobie poradzić.
Luki związane z DoubleClickjacking stwarzają poważne ryzyko na platformach korzystających z protokołu OAuth do autoryzacji kont. Zaatakowane strony internetowe są narażone na ryzyko przejęcia kont, nieautoryzowanej autoryzacji złośliwych aplikacji, zmiany kluczowych ustawień konta i inicjowania transakcji finansowych. Główne witryny internetowe, w tym Salesforce, Slack i Shopify, zostały zidentyfikowane jako podatne na ataki.
Atak ten wpływa również na rozszerzenia przeglądarki, takie jak portfele kryptowalutowe i sieci VPN, umożliwiając atakującym wyłączenie podstawowych funkcji bezpieczeństwa lub autoryzację transakcji bez zgody użytkownika.
DoubleClickjacking może ominąć tradycyjne zabezpieczenia, takie jak nagłówki X-Frame-Options, zasady bezpieczeństwa treści (CSP) i pliki cookie SameSite. Luka wykorzystuje szybki czas interakcji użytkownika, a do wykorzystania użytkownika wystarczy dwukrotne kliknięcie.
Badacz bezpieczeństwa przekazał ostrzeżenie, stwierdzając, że strony internetowe i programiści muszą pilnie wdrożyć nowe środki ochronne, aby skutecznie uporać się z tą luką.
Aby zaradzić luce DoubleClickjacking, eksperci ds. bezpieczeństwa zalecają kilka strategii zaradczych. Można zastosować podejście po stronie klienta, w którym programiści domyślnie wyłączają krytyczne przyciski do czasu wykrycia prawdziwej interakcji użytkownika, wykorzystując rozwiązania JavaScript. Na przykład skrypt może wyłączyć przyciski formularzy do czasu wykrycia ruchu myszy lub naciśnięć klawiszy.
Rozwiązania długoterminowe polegają na tym, że dostawcy przeglądarek wprowadzają nowe standardy podobne do X-Frame-Options w celu ochrony przed szybkim przełączaniem kontekstu podczas sekwencji podwójnego kliknięcia. Zalecane środki mogą obejmować utworzenie nagłówka HTTP chroniącego przed podwójnym kliknięciem i dostosowanie dyrektyw CSP w celu uwzględnienia scenariuszy wielu kliknięć.
Ponadto programiści powinni dodać skrypty ochronne do wrażliwych stron i egzekwować bardziej rygorystyczną kontrolę nad osadzonymi oknami lub nawigacją opartą na otwieraczu, aby wzmocnić ochronę przed tą nową metodą ataku.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
Wpis Jak DoubleClickjacking może prowadzić do przejęć kont na głównych platformach pojawił się jako pierwszy w TechBriefly.
Source: Jak DoubleClickjacking może doprowadzić do przejęcia kont na głównych platformach
