Tehdit avcıları, hemen hemen tüm büyük web sitelerinde tıklama saldırılarını ve hesap ele geçirmelerini kolaylaştırmak için çift tıklama dizisinden yararlanan yeni bir “yaygın zamanlamaya dayalı güvenlik açığı sınıfını” açıkladılar.
Tekniğin kod adı verildi DoubleClickjacking güvenlik araştırmacısı Paulos Yibelo tarafından.
Yibelo, “Tek bir tıklamaya güvenmek yerine çift tıklama dizisinden yararlanıyor” dedi. “Küçük bir değişiklik gibi görünse de, X-Frame-Options başlığı veya SameSite: Lax/Strict çerezi dahil olmak üzere bilinen tüm tıklama hırsızlığı korumalarını atlayan yeni kullanıcı arayüzü manipülasyon saldırılarına kapıyı açıyor.”
Kullanıcı arayüzü düzeltme olarak da adlandırılan tıklama korsanlığı, kullanıcıların görünüşte zararsız bir web sayfası öğesine (örneğin bir düğme) tıklamaları için kandırıldığı ve kötü amaçlı yazılımın yayılmasına veya hassas verilerin sızmasına yol açan bir saldırı tekniğini ifade eder.
DoubleClickjacking, güvenlik kontrollerini atlamak ve minimum etkileşimle hesapları devralmak için bir tıklamanın başlangıcı ile ikinci tıklamanın sonu arasındaki boşluktan yararlanan bu temanın bir çeşididir.
Özellikle aşağıdaki adımları içerir:
- Kullanıcı, herhangi bir kullanıcı etkileşimi olmadan veya bir düğmeyi tıklatarak yeni bir tarayıcı penceresi (veya sekme) açan, saldırgan tarafından kontrol edilen bir siteyi ziyaret eder.
- CAPTCHA doğrulaması gibi zararsız bir işlemi taklit edebilen yeni pencere, kullanıcıdan adımı tamamlamak için çift tıklamasını ister.
- Çift tıklama devam ederken ana site, gizlice kötü amaçlı bir sayfaya yönlendirmek (örneğin, kötü amaçlı bir OAuth uygulamasını onaylamak) için JavaScript Window Location nesnesini kullanır.
- Aynı zamanda, üst pencere kapatılarak kullanıcının izin onayı iletişim kutusunu onaylayarak bilmeden erişim izni vermesine olanak sağlanır.
Yibelo, “Çoğu web uygulaması ve çerçeve, yalnızca tek bir zorunlu tıklamanın risk olduğunu varsayar” dedi. “DoubleClickjacking, birçok savunmanın hiçbir zaman başa çıkamayacağı bir katman ekliyor. X-Frame-Options, SameSite çerezleri veya CSP gibi yöntemler bu saldırıya karşı savunma sağlayamaz.”
Web sitesi sahipleri, bir fare hareketi veya tuşa basılmadığı sürece kritik düğmeleri varsayılan olarak devre dışı bırakan istemci tarafı yaklaşımını kullanarak güvenlik açığı sınıfını ortadan kaldırabilir. Dropbox gibi hizmetlerin zaten bu tür önleyici tedbirleri kullandığı ortaya çıktı.
Uzun vadeli çözümler olarak, tarayıcı satıcılarının, çift tıklama istismarına karşı savunma sağlamak için X-Frame-Options’a benzer yeni standartlar benimsemeleri önerilir.
Yibelo, “DoubleClickjacking, iyi bilinen bir saldırı sınıfının farklı bir versiyonudur” dedi. “Saldırganlar, tıklamalar arasındaki olay zamanlamasını kullanarak, göz açıp kapayıncaya kadar sorunsuz bir şekilde iyi huylu kullanıcı arayüzü öğelerini hassas öğelerle değiştirebilir.”
Açıklama, araştırmacının çapraz pencere sahteciliği (diğer adıyla jest hırsızlığı) adı verilen ve kurbanı saldırganın kontrolündeki bir web sitesinde Enter tuşuna veya Boşluk çubuğuna basmaya veya basılı tutmaya ikna etmeye dayanan başka bir tıklama hırsızlığı çeşidini de göstermesinden neredeyse bir yıl sonra geldi. kötü niyetli eylem.
Coinbase ve Yahoo! gibi web sitelerinde, “her iki siteye de giriş yapan bir kurban, saldırganın web sitesine giderse ve Enter/Boşluk tuşunu elinde tutarsa”, hesap ele geçirmek amacıyla bu durum suistimal edilebilir.
“Bu mümkün çünkü her iki site de potansiyel bir saldırganın API’lerine erişmek için geniş kapsamlı bir OAuth uygulaması oluşturmasına izin veriyor ve her ikisi de, ‘İzin Ver/Yetkilendir’ düğmesine statik ve/veya tahmin edilebilir bir ‘Kimlik’ değeri belirliyor. Başvurunun mağdurun hesabına yapılmasına izin verin.”