Odkryte przez badacza Paulosa Yibelo zagrożenie tzw. „DoubleClickjacking” wykorzystuje dwukrotne kliknięcie użytkownika w celu ominięcia mechanizmów bezpieczeństwa. Ryzyko związane z atakiem DoubleClickjacking wynika ze sposobu, w jaki oszukuje on użytkowników i nakłania ich do wykonywania poufnych czynności, takich jak autoryzacja aplikacji OAuth, potwierdzanie monitów uwierzytelniania wieloskładnikowego (MFA), a nawet instalowanie rozszerzeń przeglądarki.
Tradycyjne ataki clickjackingu zazwyczaj polegają na ukrytych, „iframes”, aby manipulować kliknięciami użytkowników. Jednak DoubleClickjacking wykorzystuje unikalny mechanizm, który omija zabezpieczenia związane z ramkami iframe, koncentrując się zamiast tego na mieszance czasu i interakcji użytkownika.
Jak działa DoubleClickjacking?
Typowy atak DoubleClickjacking obejmuje następujące elementy:
Przynęta: Ofiara trafia na złośliwą stronę internetową, na której znajduje się kuszący przycisk oznaczony etykietą z przynętą, np. „Kliknij tutaj, aby otrzymać nagrodę”.
Oszustwo wielowarstwowe: Kliknięcie przycisku powoduje wyświetlenie na ekranie ofiary nowego okna nakładki, zachęcającego ją do wykonania pozornie niegroźnej czynności, np. rozwiązania captcha.
Przynęta i podmiana: W tle JavaScript dynamicznie zmienia podstawową stronę na legalną witrynę, dopasowując wrażliwe przyciski lub łącza do kursora ofiary.
Wykorzystanie: Drugie kliknięcie ofiary powoduje wyświetlenie widocznego teraz wrażliwego przycisku, co uruchamia działania takie jak udzielanie uprawnień lub autoryzowanie transakcji.
Konsekwencje ataku
Ta manipulacja omija tradycyjne zabezpieczenia przed clickjackingiem, w tym ograniczenia takie jak „X-Frame-Options” lub „frame-ancestors”. Ponieważ eksploit obejmuje bezpośrednią interakcję użytkownika z legalnymi witrynami, skutecznie omija ochronę plików cookie i ograniczenia żądań między witrynami.
Co gorsza, atak nie ogranicza się do komputerów i stron internetowych; może on dotknąć również rozszerzenia przeglądarek i telefony komórkowe.
– Ta technika może być używana do atakowania nie tylko stron internetowych, ale także rozszerzeń przeglądarek — wyjaśnia Paulos Yibelo. – Na przykład stworzyłem dowody koncepcji dla najlepszych portfeli kryptowalutowych przeglądarek, które wykorzystują tę technikę do autoryzacji transakcji web3 i dApps lub wyłączania VPN w celu ujawnienia IP itp. Można to również zrobić w telefonach komórkowych, prosząc cel o 'DoubleTap’.
Obecne środki obrony są niewystarczające
Niestety, exploity oparte na czasie nadal nie mają solidnych mechanizmów obronnych. Jednak kilka proaktywnych środków zaproponowanych przez Yibelo może przeciwdziałać temu pojawiającemu się zagrożeniu:
Ochrona JavaScript: Wdrażanie skryptów wyłączających wrażliwe przyciski do momentu wykrycia wyraźnych gestów użytkownika, takich jak ruchy myszy.
Nagłówki HTTP: Wprowadzenie nagłówków ograniczających szybkie przełączanie kontekstu między oknami przeglądarki podczas sekwencji dwukrotnego kliknięcia, uniemożliwiając atakującym wykorzystanie tego zachowania.
Oczekuje się, że proponowane rozwiązania zmniejszą tarcie w interakcjach użytkowników, zmniejszając prawdopodobieństwo przypadkowego kliknięcia wrażliwych elementów.
– Najlepszym sposobem na ochronę przed exploitami nadal pozostaje korzystanie ze skutecznego systemu antywirusowego, który został wyposażony w specjalne moduły przeciwdziałania exploitom typu zero-day. Pozwoli to na zabezpieczenie Twojego urządzenia przed atakami, które jeszcze nie zostały odkryte i dokładnie zbadane – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.