DoubleClickjacking: Как новая кибератака нацеливается на взаимодействие пользователей

Эксперт по кибербезопасности Паблос Ибело сегодня объявил о DoubleClickjacking, веб-атаке, использующей двойной клик для введения пользователей в заблуждение и выполнения ими чувствительных действий на веб-сайтах.

Паблос Йибело объясняет, что техника DoubleClickjacking расширяет хорошо известную технику «clickjacking«. Эта атака манипулирует взаимодействиями пользовательского интерфейса, чтобы обойти защиту, такую как заголовки X-Frame-Options и куки SameSite, что потенциально может повлиять на широкий спектр веб-сайтов.

Ибело объясняет, что DoubleClickjacking работает за счет использования времени между двумя кликами в последовательности двойного клика. Обычно атака начинается с взаимодействия пользователя со страницей, которая открывает новое окно или показывает сообщение.

Первый клик закрывает вновь открытое окно, раскрывая страницу с чувствительным действием, например, экран авторизации OAuth, в исходном окне браузера. Второй клик затем неумышленно утверждает вредоносное действие или предоставляет доступ к неавторизованным приложениям.

Этот метод использует краткую задержку между событиями «mousedown» и «click», обходя традиционные меры безопасности. Его влияние значительно, поскольку он позволяет злоумышленникам выполнять такие действия, как получение доступа к аккаунтам, изменение настроек или проведение несанкционированных транзакций, говорит Yibelo.

Многие платформы, использующие OAuth для аутентификации, особенно уязвимы, поскольку злоумышленники могут использовать этот метод для получения обширных разрешений в учетных записях пользователей.

Риски выходят за рамки веб-сайтов и включают в себя расширения браузера и мобильные приложения. Примерами могут служить ситуации, когда кошельки для криптовалюты или настройки VPN могут быть изменены без ведома пользователя, как отметил Йибело.

Здесь Йибело приводит пример захвата аккаунта Slack:

Простота атаки, требующей всего лишь двойного клика, делает ее труднообнаружимой и предотвратимой. Чтобы снизить риски, Йибело говорит, что разработчики могут внедрить защиту на основе JavaScript, которая отключает критически важные кнопки до тех пор, пока не будут обнаружены намеренные действия пользователя, такие как движения мыши или ввод с клавиатуры.

Ибело говорит, что такой подход добавляет слой верификации, гарантируя, что чувствительные действия не могут произойти без участия пользователя. Со временем, разработчики браузеров могут принять более надежные решения, например, введение специализированных HTTP-заголовков для предотвращения переключения контекста во время двойного клика.

DoubleClickjacking подчеркивает развивающиеся проблемы в области веб-безопасности. Эксплуатируя незначительные шаблоны взаимодействия пользователя, он подчеркивает необходимость постоянного обновления практик и защиты безопасности.