Tehdit avcıları, yeni bir “yaygın zamanlamaya dayalı güvenlik açığı sınıfını” ortaya çıkardı. çift tıklama sırası neredeyse tüm büyük web sitelerinde tıklama saldırılarını ve hesap ele geçirmelerini kolaylaştırmak için.
Tekniğe kod adı verildi DoubleClickjacking güvenlik araştırmacısı Paulos Yibelo tarafından.
Yibelo, “Tek tıklamaya güvenmek yerine çift tıklama dizisinden yararlanıyor.” söz konusu. “Küçük bir değişiklik gibi görünse de, X-Frame-Options başlığı veya SameSite: Lax/Strict çerezi dahil olmak üzere bilinen tüm tıklama hırsızlığı korumalarını atlayan yeni kullanıcı arayüzü manipülasyon saldırılarına kapıyı açıyor.”
Tıklama hırsızlığıKullanıcı arayüzü düzeltme olarak da adlandırılan bu saldırı tekniği, kullanıcıların görünüşte zararsız bir web sayfası öğesine (örneğin bir düğme) tıklamaları için kandırıldığı, kötü amaçlı yazılımın yayılmasına veya hassas verilerin sızmasına yol açan bir saldırı tekniğini ifade eder.
DoubleClickjacking, güvenlik kontrollerini atlamak ve minimum etkileşimle hesapları devralmak için bir tıklamanın başlangıcı ile ikinci tıklamanın sonu arasındaki boşluktan yararlanan bu temanın bir çeşididir.
Özellikle aşağıdaki adımları içerir:
- Kullanıcı, herhangi bir kullanıcı etkileşimi olmadan veya bir düğmeyi tıklatarak yeni bir tarayıcı penceresi (veya sekme) açan, saldırgan tarafından kontrol edilen bir siteyi ziyaret eder.
- CAPTCHA doğrulaması gibi zararsız bir işlemi taklit edebilen yeni pencere, kullanıcıdan adımı tamamlamak için çift tıklamasını ister.
- Çift tıklama devam ederken ana site JavaScript’i kullanır Pencere Konumu Kötü amaçlı bir sayfaya gizlice yönlendirmeye itiraz etme (örneğin, kötü amaçlı bir OAuth uygulamasını onaylama)
- Aynı zamanda, üst pencere kapatılarak kullanıcının izin onayı iletişim kutusunu onaylayarak bilmeden erişim izni vermesine olanak sağlanır.
Yibelo, “Çoğu web uygulaması ve çerçeve, yalnızca tek bir zorunlu tıklamanın risk olduğunu varsayar” dedi. “DoubleClickjacking, birçok savunmanın hiçbir zaman başa çıkamayacağı bir katman ekliyor. X-Frame-Options, SameSite çerezleri veya CSP gibi yöntemler bu saldırıya karşı savunma sağlayamaz.”
Web sitesi sahipleri, bir fare hareketi veya tuşa basılmadığı sürece kritik düğmeleri varsayılan olarak devre dışı bırakan istemci tarafı yaklaşımını kullanarak güvenlik açığı sınıfını ortadan kaldırabilir. Dropbox gibi hizmetlerin zaten bu tür önleyici tedbirleri kullandığı ortaya çıktı.
Uzun vadeli çözümler olarak, tarayıcı satıcılarının, çift tıklama istismarına karşı savunma sağlamak için X-Frame-Options’a benzer yeni standartlar benimsemeleri önerilir.
Yibelo, “DoubleClickjacking, iyi bilinen bir saldırı sınıfının farklı bir versiyonudur” dedi. “Saldırganlar, tıklamalar arasındaki olay zamanlamasını kullanarak, göz açıp kapayıncaya kadar sorunsuz bir şekilde iyi huylu kullanıcı arayüzü öğelerini hassas öğelerle değiştirebilir.”
Açıklama, araştırmacının ayrıca çapraz pencere sahteciliği (diğer adıyla tıklama korsanlığı) adı verilen başka bir tıklama hırsızlığı çeşidini göstermesinden neredeyse bir yıl sonra geldi. jest-kriko) kurbanı, saldırgan tarafından kontrol edilen bir web sitesinde kötü niyetli bir eylem başlatmak için Enter tuşuna veya Boşluk çubuğuna basmaya veya basılı tutmaya ikna etmeye dayanır.
Coinbase ve Yahoo! gibi web sitelerinde olabilir istismar edilmiş hesabın ele geçirilmesini sağlamak için “her iki siteye de giriş yapan bir kurban, saldırganın web sitesine giderse ve Enter/Boşluk tuşunu tutarsa.”
“Bu mümkün çünkü her iki site de potansiyel bir saldırganın API’lerine erişmek için geniş kapsamlı bir OAuth uygulaması oluşturmasına izin veriyor ve her ikisi de, ‘İzin Ver/Yetkilendir’ düğmesine statik ve/veya tahmin edilebilir bir ‘Kimlik’ değeri belirliyor. Başvurunun mağdurun hesabına yapılmasına izin verin.”
