A clickjacking támadás során a támadók ráveszik a gyanútlan felhasználókat arra, hogy a weboldalon kattintsanak egy rosszindulatú tartalomra (például nyerhetnek valamit). A kattintás után a támadók rosszindulatú műveleteket tudnak végrehajtani. Mivel a felhasználók a kattintássukkal bizalmas műveletet engedélyeznek (egy OAuth alkalmazást vagy egy MFA hitelesítést), melyek egy láthatatlan iframe-ben jelennek meg, pontosan a nyereményoldal gombja fölött.
Az évek során a webböngészők fejlesztői olyan új funkciókat vezettek be, amelyek megakadályozzák az ilyen típusú támadások nagy részét. Például nem engedélyezik a cookie-k küldését a webhelyek között, vagy biztonsági korlátozásokat vezetnek be (X-Frame-Options vagy frame- ancestors) arra vonatkozóan, hogy a webhelyeket lehet-e iframe-elni.
Az új DoubleClickjacking támadás
Paulos Yibelo kiberbiztonsági szakértő hívta fel a figyelmet a DoubleClickjacking nevű új támadási módszerre. Ez az egér dupla kattintásának időzítését használja ki.
A támadó létrehoz egy weboldalt, amely látszólag olyan ártalmatlan gombot jelenít meg. Ez például egy “kattintson ide” a jutalom megtekintéséhez vagy film megnézéséhez szöveggel csalogatja a gyanútlan felhasználókat.
Amikor a látogató rákattint a gombra, egy új ablak jelenik meg. Lefedve az eredeti oldalt egy másik csalit tartalmaz, például egy captcha-t kell megoldani a folytatáshoz. A háttérben az eredeti oldalon található JavaScript átirányítja az oldalt egy legitim webhelyre, amelyen a támadók valamilyen művelet végrehajtására akarják rávenni a felhasználót.
Az új, lefedett ablakban lévő captcha arra kéri a felhasználót, hogy a captcha megoldásához kattintson duplán az oldalon. Ez az oldal azonban figyeli az egérrel való kattintást. -ha észleli, gyorsan bezárja a captcha „rétegét”, aminek következtében a második kattintás a gyorsan megjelenített engedélyezési gombra vagy hivatkozásra érkezik (ez korábban el volt rejtve a legitim oldalon). Ennek következtében a felhasználó tévedésből arra a gombra kattint, ami engedélyezi egy beépülő modul telepítését, egy OAuth alkalmazás futtatását vagy egy MFA folyamat utolsó lépését.
Mitől veszélyes?
Ami a DoubleClickjackinget veszélyessé teszi az az, hogy megkerüli az összes eddigi clickjacking elleni védelmet. Azért, mert nem használ iframe-et és nem próbál cookie-kat továbbítani egy másik domainre. Ehelyett a műveletek közvetlenül a nem védett legitim webhelyeken történnek.
A Yibelo szerint szinte minden weboldal ki van téve DoubleClickjacking támadásnak és mobiltelefonokon is működik. Illetve a webhelyek mellett a böngészőbővítményeknél is alkalmazható, például a kriptotárcáknál.
A DoubleClickjacking támadás kivédéséhez a Yibello megosztotta a JavaScriptet, amelyet hozzáadva a weboldalhoz megakadályozható, hogy dupla kattintással automatikusan az engedélyezési gombra kattintsunk.
A szakértő egy olyan http header-t is javasol, amely korlátozza vagy blokkolja az ablakok közötti gyors kontextusváltást a double-click szekvencia során.
(Forrás: NKI | Kép: flickr/Erik (HASH) Hersman)
