O nouă variantă a atacurilor de clickjacking numită „DoubleClickjacking” permite atacatorilor să păcălească utilizatorii să autorizeze acțiuni sensibile folosind dublul clic, evitând protecțiile existente împotriva acestor tipuri de atacuri.
Clickjacking, cunoscut și sub numele de UI redressing, este atunci când actorii de amenințare creează pagini web malefice care îi păcălesc pe vizitatori să facă clic pe elemente de pagină ascunse sau mascate.
Atacurile funcționează prin suprapunerea unei pagini web legitime într-un iframe ascuns peste o pagină web creată de atacatori. Această pagină web creată de atacator este proiectată să-și alinieze butoanele și linkurile cu linkurile și butoanele de pe iframe-ul ascuns.
Atacatorii folosesc apoi pagina lor web pentru a determina un utilizator să facă clic pe un link sau buton, cum ar fi pentru a câștiga o recompensă sau a vedea o poză drăguță.
Cu toate acestea, atunci când fac clic pe pagină, ei fac de fapt clic pe linkuri și butoane de pe iframe-ul ascuns (site-ul legitim), care ar putea să efectueze acțiuni malitioase, cum ar fi autorizarea unei aplicații OAuth să se conecteze la contul lor sau acceptarea unei cereri MFA.
De-a lungul anilor, dezvoltatorii de browsere web au introdus funcții noi care previn majoritatea acestor atacuri, cum ar fi nepermițând trimiterea cookie-urilor între site-uri sau introducând restricții de securitate (X-Frame-Options sau frame-ancestors) referitoare la posibilitatea de a încadra site-uri.
Expertul în securitate cibernetică Paulos Yibelo a introdus un nou atac web numit DoubleClickjacking care exploatează momentul dublului clic al mouse-ului pentru a păcăli utilizatorii să efectueze acțiuni sensibile pe site-uri.
În acest scenariu de atac, un actor de amenințare va crea un site web care afișează un buton aparent inofensiv cu o momeală, cum ar fi „faceți clic aici” pentru a vă vedea recompensa sau a viziona un film.
Când vizitatorul face clic pe buton, va fi creat un nou fereastră care acoperă pagina originală și include o altă momeală, cum ar fi rezolvarea unui captcha pentru a continua. În fundal, JavaScript-ul de pe pagina originală va schimba acea pagină cu un site legitim pe care atacatorii doresc să îi păcălească pe utilizatori să efectueze o acțiune.
Captcha de pe fereastra suprapusă nouă îi solicită vizitatorului să facă dublu clic pe ceva de pe pagină pentru a rezolva captcha. Cu toate acestea, această pagină ascultă evenimentul mousedown și, atunci când este detectat, închide rapid suprapunerea captcha, determinând al doilea clic să cadă pe butonul de autorizare sau linkul afișat acum pe pagina legitimă ascunsă anterior.
Aceasta face ca utilizatorul să facă clic din greșeală pe butonul expus, autorizând potențial instalarea unui plugin, o aplicație OAuth să se conecteze la contul lor sau să fie recunoscută o solicitare de autentificare multi-factor.
Ceea ce face această metodă atât de periculoasă este că ocolește toate apărările actuale împotriva clickjacking, deoarece nu folosește un iframe, nu încearcă să transmită cookie-uri către un alt domeniu. În schimb, acțiunile au loc direct pe site-urile legitime care nu sunt protejate.
Yibelo spune că acest atac afectează aproape fiecare site, partajând videoclipuri demonstrative utilizând DoubleClickjacking pentru a prelua conturile de Shopify, Slack și Salesforce.
Cercetătorul avertizează, de asemenea, că atacul nu este limitat doar la paginile web, ci poate fi folosit și pentru extensii de browser.
„De exemplu, am făcut demonstrații pentru cele mai bune portofele criptografice de browser care folosesc această tehnică pentru a autoriza tranzacții web3 & dApps sau pentru a dezactiva VPN-ul pentru a-ți expune IP etc,” explică Yibelo.
„Acest lucru poate fi făcut și pe telefoanele mobile cerându-i țintei să facă „DoubleTap”.
Pentru a te proteja împotriva acestui tip de atac, Yibello partajează JavaScript, care poate fi adăugat pe pagini web pentru a dezactiva butoanele sensibile până când se face un gest. Acest lucru va împiedica dublul clic să facă automat clic pe butonul de autorizare la îndepărtarea suprapunerii atacatorului.
Cercetătorul sugerează, de asemenea, un antet HTTP potențial care limitează sau blochează comutarea rapidă a contextului între ferestre în timpul unei secvențe de dublu clic.
Leave a Reply