Nowe zagrożenie DoubleClickjacking wykorzystuje podwójne kliknięcia do przejęcia konta

Odkryte przez badacza Paulosa Yibelo zagrożenie tzw. „DoubleClickjacking” wykorzystuje dwukrotne kliknięcie użytkownika w celu ominięcia mechanizmów bezpieczeństwa. Ryzyko związane z atakiem DoubleClickjacking wynika ze sposobu, w jaki oszukuje on użytkowników i nakłania ich do wykonywania poufnych czynności, takich jak autoryzacja aplikacji OAuth, potwierdzanie monitów uwierzytelniania wieloskładnikowego (MFA), a nawet instalowanie rozszerzeń przeglądarki.

Tradycyjne ataki clickjackingu zazwyczaj polegają na ukrytych, „iframes”, aby manipulować kliknięciami użytkowników. Jednak DoubleClickjacking wykorzystuje unikalny mechanizm, który omija zabezpieczenia związane z ramkami iframe, koncentrując się zamiast tego na mieszance czasu i interakcji użytkownika.

Jak działa DoubleClickjacking?

Typowy atak DoubleClickjacking obejmuje następujące elementy:

• Przynęta: Ofiara trafia na złośliwą stronę internetową, na której znajduje się kuszący przycisk oznaczony etykietą z przynętą, np. „Kliknij tutaj, aby otrzymać nagrodę”.
• Oszustwo wielowarstwowe: Kliknięcie przycisku powoduje wyświetlenie na ekranie ofiary nowego okna nakładki, zachęcającego ją do wykonania pozornie niegroźnej czynności, np. rozwiązania captcha.
• Przynęta i podmiana: W tle JavaScript dynamicznie zmienia podstawową stronę na legalną witrynę, dopasowując wrażliwe przyciski lub łącza do kursora ofiary.
• Wykorzystanie: Drugie kliknięcie ofiary powoduje wyświetlenie widocznego teraz wrażliwego przycisku, co uruchamia działania takie jak udzielanie uprawnień lub autoryzowanie transakcji.

Konsekwencje ataku

Ta manipulacja omija tradycyjne zabezpieczenia przed clickjackingiem, w tym ograniczenia takie jak „X-Frame-Options” lub „frame-ancestors”. Ponieważ eksploit obejmuje bezpośrednią interakcję użytkownika z legalnymi witrynami, skutecznie omija ochronę plików cookie i ograniczenia żądań między witrynami.

Co gorsza, atak nie ogranicza się do komputerów i stron internetowych; może on dotknąć również rozszerzenia przeglądarek i telefony komórkowe.

„Ta technika może być używana do atakowania nie tylko stron internetowych, ale także rozszerzeń przeglądarek” — wyjaśnia Paulos Yibelo. „Na przykład stworzyłem dowody koncepcji dla najlepszych portfeli kryptowalutowych przeglądarek, które wykorzystują tę technikę do autoryzacji transakcji web3 i dApps lub wyłączania VPN w celu ujawnienia IP itp. Można to również zrobić w telefonach komórkowych, prosząc cel o 'DoubleTap’”.

Obecne środki obrony są niewystarczające

Niestety, exploity oparte na czasie nadal nie mają solidnych mechanizmów obronnych. Jednak kilka proaktywnych środków zaproponowanych przez Yibelo może przeciwdziałać temu pojawiającemu się zagrożeniu:

• Ochrona JavaScript: Wdrażanie skryptów wyłączających wrażliwe przyciski do momentu wykrycia wyraźnych gestów użytkownika, takich jak ruchy myszy.
• Nagłówki HTTP: Wprowadzenie nagłówków ograniczających szybkie przełączanie kontekstu między oknami przeglądarki podczas sekwencji dwukrotnego kliknięcia, uniemożliwiając atakującym wykorzystanie tego zachowania.

Oczekuje się, że proponowane rozwiązania zmniejszą tarcie w interakcjach użytkowników, zmniejszając prawdopodobieństwo przypadkowego kliknięcia wrażliwych elementów.

„Najlepszym sposobem na ochronę przed exploitami nadal pozostaje korzystanie ze skutecznego systemu antywirusowego, który został wyposażony w specjalne moduły przeciwdziałania exploitom typu zero-day. Pozwoli to na zabezpieczenie Twojego urządzenia przed atakami, które jeszcze nie zostały odkryte i dokładnie zbadane” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.