Исследователь безопасности обнаружил новую киберугрозу под названием DoubleClickjacking. Паулос Йибеловыявляя уязвимости на крупных веб-сайтах и ​​эффективно обходя существующие средства защиты от кликджекинга.

Новая киберугроза DoubleClickjacking раскрывает основные уязвимости веб-сайтов

DoubleClickjacking — это класс уязвимостей, основанный на времени, который использует последовательность двойных щелчков, а не одиночный щелчок. Йибело объяснил, что это незначительное изменение позволяет использовать новые атаки с манипуляцией пользовательским интерфейсом, которые могут обойти все известные средства защиты от кликджекинга, включая заголовок X-Frame-Options и файлы cookie SameSite.

Кликджекинг, также известный как исправление пользовательского интерфейса, заставляет пользователей нажимать на, казалось бы, безобидные элементы веб-страницы, что может привести к развертыванию вредоносного ПО или краже конфиденциальных данных. Техника DoubleClickjacking использует временной интервал между первым и вторым щелчком мыши для выполнения атак с минимальным взаимодействием с пользователем.

You Might Also Like
Как включить DNS через протокол HTTPS в Windows 10?
Как включить DNS через протокол HTTPS в Windows 10?
Утечка PlayStation State of Play раскрывает впечатляющую линейку игр
Утечка PlayStation State of Play раскрывает впечатляющую линейку игр
Как активировать персональные результаты Google?
Как активировать персональные результаты Google?

DoubleClickjacking включает в себя несколько этапов. Злоумышленник создает невинный на вид веб-сайт, который предлагает пользователям дважды щелкнуть кнопку, что может выглядеть как проверка CAPTCHA. Когда пользователь инициирует двойной щелчок, злоумышленник использует объект «Местоположение окна JavaScript» для скрытого перенаправления на вредоносную страницу, например диалоговое окно авторизации OAuth. Когда верхнее окно закрывается, пользователь неосознанно предоставляет доступ, одобряя диалоговое окно подтверждения разрешения.

  Microsoft создала для Министерства обороны безопасную модель искусственного интеллекта для обработки секретных данных
Как DoubleClickjacking может привести к захвату аккаунтов на основных платформах
Изображение: Паулос Йибело

Йибело отметил, что большинство веб-приложений и фреймворков предназначены для снижения рисков, связанных с одиночными принудительными кликами, что делает существующие средства защиты от кликджекинга неадекватными против этого нового варианта. Атака использует время и последовательность событий способами, с которыми существующие протоколы безопасности не могут эффективно справиться.

Уязвимости, связанные с DoubleClickjacking, создают значительные риски для платформ, использующих OAuth для авторизации учетных записей. Затронутые веб-сайты рискуют пострадать от захвата учетных записей, несанкционированной авторизации вредоносных приложений, изменения важных настроек учетной записи и инициирования финансовых транзакций. Основные веб-сайты, включая Salesforce, Slack и Shopify, были признаны уязвимыми.

Эта атака также затрагивает расширения браузера, такие как криптокошельки и VPN, позволяя злоумышленникам отключать важные функции безопасности или авторизовать транзакции без согласия пользователя.

DoubleClickjacking может обойти традиционные средства защиты, такие как заголовки X-Frame-Options, политики безопасности контента (CSP) и файлы cookie SameSite. Уязвимость использует быстрое взаимодействие с пользователем, требуя всего лишь двойного щелчка мыши, чтобы использовать пользователя.

Исследователь безопасности выступил с предостережением, заявив, что веб-сайтам и разработчикам необходимо срочно внедрить новые меры защиты для эффективного устранения этой уязвимости.

  Грядет новая игра FIFA! Так какая компания будет его разрабатывать?

Чтобы устранить уязвимость DoubleClickjacking, эксперты по безопасности рекомендуют несколько стратегий смягчения. Можно использовать подход на стороне клиента, при котором разработчики по умолчанию отключают важные кнопки до тех пор, пока не будет обнаружено подлинное взаимодействие с пользователем, используя решения JavaScript. Например, сценарий может отключать кнопки формы до тех пор, пока не будет обнаружено движение мыши или нажатие клавиш.

Долгосрочные решения включают внедрение поставщиками браузеров новых стандартов, подобных X-Frame-Options, для защиты от быстрого переключения контекста во время последовательностей двойного щелчка. Рекомендуемые меры могут включать создание HTTP-заголовка защиты от двойного щелчка и адаптацию директив CSP для учета сценариев с несколькими щелчками мыши.

Кроме того, разработчикам следует добавлять защитные сценарии на конфиденциальные страницы и обеспечивать более строгий контроль над встроенными окнами или навигацией на основе открывателя, чтобы усилить защиту от этого нового метода атаки.

  Коды Rocket League на июль 2022 года

Предоставленное изображение предоставлено: Керем Гюлен/Midjourney

Сообщение «Как DoubleClickjacking может привести к захвату аккаунтов на основных платформах» впервые появилось на TechBriefly.

Source: Как DoubleClickjacking может привести к захвату аккаунтов на основных платформах