Uç Nokta Güvenliği, Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
Kusur, Tıklama Hırsızlığı Savunmalarını Atlar, Hesap Devralmalarına Olanak Sağlar
Prajeet Nair (@prajeetspeaks) •
2 Ocak 2025
Bilgisayar korsanları, karmaşık tıklama saldırıları gerçekleştirmek için iki fare tıklaması arasındaki saniyelik gecikmeden yararlanıyor, kurbanları işlemlere yetki vermeleri veya hiç amaçlamadıkları erişim vermeleri için kandırıyor.
Ayrıca bakınız: Kodu Kırmak: Makine Kimliklerini Korumak
Güvenlik araştırmacısı Paulos Yibelo, saldırganların, tek tıklamayla saldırıları engelleyen modern tarayıcı korumalarını atlayarak kullanıcıları gizli veya aldatıcı öğelere ikinci bir tıklama yapmaları için yönlendirdiği taktiğin yeni bir yönünü araştırdı.
Yibelo, “DoubleClickjacking” tekniğinin önemli bir tehdit oluşturduğunu ve saldırganların kullanıcıları büyük platformlarda OAuth ve API izinleri vermeleri için manipüle etmelerine olanak sağladığını söyledi. Bu, kötü niyetli aktörlerin güvenlik özelliklerini devre dışı bırakmasına, hesapları silmesine, erişim veya işlemlere izin vermesine ve para transferlerini onaylamasına olanak tanıyabilir; üstelik bunların tümünü kurbanın açıkça haberi olmadan yapabilir.
Modern tarayıcılar, siteler arası çerezlerin kullanıcının izni olmadan indirilmesini önleyerek tek tıklamayla ele geçirmeyi daha az uygulanabilir hale getirdi. Buna yanıt olarak saldırganlar, meşru web sayfaları üzerinde aldatıcı unsurlar katmanlayarak ikinci bir tıklamayı devreye sokuyor. Geleneksel tıklama hırsızlığı, kullanıcıları gizli düğmelere tıklamaya kandırarak uzun süredir bir güvenlik tehdidi oluşturuyor. SameSite çerezleri ve X-Frame-Options gibi modern tarayıcı savunmaları bu saldırıları azaltmıştır.
DoubleClickjacking, tarayıcı davranışındaki zamanlama ve olay sırası tuhaflığından yararlanarak bu korumaları aşar. Bu teknik, bir çift tıklama dizisi sırasında fareyi aşağı indirme ve tıklama olayları arasındaki boşluğu manipüle ederek kullanıcıları, bilgileri olmadan hassas eylemlere yönlendirir.
Yibelo, saldırının, saldırganın web sitesinin, genellikle CAPTCHA doğrulaması gibi meşru bir istem olarak maskelenen ikincil bir tarayıcı penceresi açmasıyla başladığını yazdı. İlk tıklama sırasında üst pencere kapatılır ve ana pencerede OAuth yetkilendirme formu gibi önceden yüklenmiş hassas bir sayfa ortaya çıkar. İlk istem için tasarlanan ikinci tıklama, “farkında olmadan” kötü niyetli eylemlere izin verir.
Yibelo, “Bu teknik, kullanıcı eylemlerini sorunsuz bir şekilde ele geçirmek için olay zamanlamasını kullanıyor” dedi ve saldırının OAuth ve API entegrasyonlarını destekleyen tüm büyük platformlarda çalıştığını ekledi.
Yibelo, Salesforce, Slack ve Shopify gibi platformlarda hesap devralma işlemlerini gösteren kavram kanıtı örnekleri sağladı. DoubleClickjacking, web sitelerinin ötesinde, kripto para cüzdanları ve VPN’ler de dahil olmak üzere tarayıcı uzantıları ve mobil uygulamalar için risk oluşturur.
Yibelo, güvenlik açığının test edilen tüm platformlarda etkili olduğunu söyledi. Bazı kuruluşlar düzeltmeler uygulasa da çoğu, tekniğin yeniliği ve karmaşıklığı nedeniyle savunmasız durumda.
İçerik Güvenliği Politikası ve SameSite çerezleri gibi popüler savunmalar DoubleClickjacking’e karşı başarısız olur.
Tehdidi azaltmak için Yibelo, kullanıcılar fare hareketi veya tuşlara basma gibi kasıtlı etkileşimler gösterene kadar kritik düğmeleri devre dışı bırakan JavaScript tabanlı bir istemci tarafı savunması önerdi. Bu hafif çözüm, Dropbox ve GitHub gibi platformlar tarafından zaten benimsenmiş olup, hassas eylemlerin simüle edilmiş veya kandırılmış tıklamalarla tetiklenmemesini sağlar.
Yibelo ayrıca tarayıcı üreticilerinin, çift tıklama olayları sırasında hızlı içerik değiştirmeyi engelleyebilecek “Çift Tıklama Koruması” HTTP başlığı gibi savunmaları benimsemelerini de önerdi.