Web Sitelerini Hacklemek ve Hesapları Ele Geçirmek için “Çift Tıklama” Saldırısı

   Ocak 1, 2025  Posted in CyberSecurityNews


DoubleClickjacking

İnternet güvenliğiyle ilgili endişe verici bir gelişmede, uzun süredir devam eden bir siber saldırı tekniğinin “DoubleClickjacking” olarak bilinen yeni bir varyasyonu keşfedildi; bu, büyük web sitelerinin güvenliğini tehdit ediyor ve kullanıcıları hesapların ele geçirilmesine maruz bırakıyor.

Bu karmaşık saldırı, mevcut tıklama hırsızlığı korumalarını atlayarak birçok çevrimiçi platformu savunmasız bırakıyor.

DoubleClickjacking Nedir?

On yıllık g konseptini temel alan DoubleClickjacking, ince ama etkili bir değişiklik sunuyor. Tıklama hırsızlığı genellikle kullanıcıları gizli veya gizlenmiş düğmelere tıklamaları için kandırır ve çoğu zaman yetkisiz eylemlere yol açar.

Modern web tarayıcıları, çerezleri varsayılan olarak “SameSite: Lax” olarak ayarlayarak geleneksel tıklama hırsızlığı risklerini azaltmış olsa da, DoubleClickjacking, iki tıklama dizisini kullanarak bu korumaları atlatır.

PAULOS tarafından gösterilen bu saldırıda, hiçbir şeyden haberi olmayan bir kullanıcı, görünüşte zararsız bir istemi çift tıklatarak yanıltılıyor. Bu eylem sırasında saldırganlar, üst düzey tarayıcı penceresini değiştirmek veya kapatmak ve arka planda OAuth yetkilendirme iletişim kutusu veya hesap ayarı onay sayfası gibi hassas bir sayfayı değiştirmek için zamanlamayı ve olay sırasını değiştirir.

Kullanıcının ikinci tıklaması farkında olmadan kötü amaçlı bir eyleme izin vererek saldırganların hesaplarına erişmesine olanak tanır.

Saldırı Nasıl Çalışır?

  1. İlk Kurulum: Saldırgan, yeni bir pencere açan bir düğme içeren bir web sitesi oluşturur. Bu pencere, “Robot olmadığınızı doğrulamak için çift tıklayın” gibi masum görünen bir istem görüntüleyebilir.
  2. İstismarı tetiklemek: Kullanıcı düğmeye tıkladığında: Yeni bir pencere açılır ve kullanıcıdan çift tıklaması istenir.

Eş zamanlı olarak ana pencerenin içeriği hassas bir sayfayla (örn. OAuth yetkilendirme istemi) değiştirilir. window.opener.location.

  • İlk tıklama (kayıtlı mousedown) üst pencereyi kapatır veya değiştirir.
  • İkinci tıklama (kayıtlı mouseup) ana penceredeki hassas öğeye yerleşerek saldırganın uygulama izinlerini vermek gibi kötü amaçlı eylemlere izin verir.

Bu teknik özellikle tehlikelidir çünkü kullanıcı etkileşimleri arasındaki zamanlama farkını manipüle eder (mousedown vs. onclick olaylar) ve pencere içeriğini tespit edilmeden sorunsuz bir şekilde değiştirir.

Gerçek Dünyada Ne Kadar Tehlikeli

DoubleClickjacking’in, özellikle hesap yetkilendirmesi için OAuth’a güvenen platformlar için geniş kapsamlı sonuçları vardır. Etkilenen web siteleri saldırganları görebilir:

  • Kullanıcı hesaplarını devralın.
  • Kötü amaçlı uygulamaları kapsamlı veri erişim ayrıcalıklarıyla yetkilendirin.
  • Kritik hesap ayarlarını değiştirin, hatta finansal işlemleri başlatın.

Testler, OAuth’u destekleyen birçok büyük web sitesinin bu saldırıya karşı savunmasız olduğunu ve bunun da Salesforce, Slack ve Shopify gibi platformlarda potansiyel istismara yol açtığını ortaya çıkardı.

  1. Mevcut Korumaları Atlar: X-Frame-Options başlıkları, İçerik Güvenliği Politikaları (CSP) ve SameSite çerezleri gibi geleneksel savunmalar bu saldırıya karşı etkisizdir.
  2. Minimum Kullanıcı Etkileşimi: İstismar yalnızca basit bir çift tıklamayı gerektirir, bu da onu son derece aldatıcı kılar.
  3. Kapsamlı Erişim: DoubleClickjacking yalnızca web sitelerini değil aynı zamanda kripto cüzdanları veya VPN’ler gibi tarayıcı uzantılarını da etkileyerek saldırganların güvenlik özelliklerini devre dışı bırakmasına veya işlemlere yetki vermesine olanak tanır.

Azaltma Stratejileri

1. İstemci Tarafı Korumaları

Geliştiriciler, kasıtlı kullanıcı etkileşimi tespit edilmediği sürece hassas düğmeleri varsayılan olarak devre dışı bırakmak için basit JavaScript çözümleri uygulayabilir. Örneğin:

(function(){
  if (window.matchMedia && window.matchMedia("(hover: hover)").matches) {
    var buttons = document.querySelectorAll('form button, form input[type="submit"]');
    buttons.forEach(button => button.disabled = true);
    function enableButtons() { buttons.forEach(button => button.disabled = false); }
    document.addEventListener("mousemove", enableButtons);
    document.addEventListener("keydown", e => { if(e.key === "Tab") enableButtons(); });
  }
})();

Bu komut dosyası, fareyi hareket ettirmek veya bir tuşa basmak gibi gerçek kullanıcı etkinliği algılanana kadar düğmelerin devre dışı kalmasını sağlayarak otomatik veya hileli tıklamaları engeller. Dropbox gibi platformlar zaten bu tür önleyici tedbirleri kullanıyor.

2. Uzun Vadeli Tarayıcı Çözümleri

Bu sorunu kök düzeyinde ele almak için tarayıcıların, çift tıklama dizileri sırasında hızlı içerik değişimini önleyecek yeni standartlar sunması gerekir. Olası önlemler şunları içerir:

  • Bir tanıtım Double-Click-Protection HTTP başlığı.
  • Çoklu tıklama senaryolarını hesaba katacak şekilde CSP yönergelerinin geliştirilmesi.

3. Geliştiriciler için En İyi Uygulamalar

  • OAuth izinleri veya ödeme onaylarıyla ilgilenen sayfalar gibi hassas sayfalara koruyucu komut dosyaları ekleyin.
  • Gömülü pencereler veya açıcı tabanlı gezinme üzerinde daha sıkı denetimler uygulayın.

DoubleClickjacking, yerleşik tıklama hırsızlığı savunmalarını atlamak için kullanıcı etkileşimlerindeki zamanlama açıklarından yararlanarak web tabanlı saldırılarda yeni bir sınırı temsil eder.

Geliştiriciler ve güvenlik ekipleri, istemci tarafı korumaları uygulayarak ve tarayıcı düzeyinde güvenlik geliştirmelerini savunarak bu riske karşı hızlı bir şekilde harekete geçmelidir. Dijital ortam geliştikçe DoubleClickjacking gibi yenilikçi saldırı yöntemlerine karşı tetikte olmak, kullanıcı verilerinin ve güveninin korunması açısından hayati önem taşıyor.

ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin



Source link