حمله دابل-کلیک‌جکینگ؛ سرقت حساب‌های کاربری با دو کلیک

فاصله زمانی بین دو کلیک ماوس برای هکرها کافی است تا صفحات وب را جابجا کرده و قربانیان را فریب دهند تا به طور تصادفی مجوز دسترسی یا انتقال وجه را صادر کنند. «دابل-کلیک‌جکینگ» می‌تواند برای به دست آوردن مجوزهای OAuth و API برای اکثر وب‌سایت‌های بزرگ، انجام تغییرات حساب کاربری با یک کلیک، مانند غیرفعال کردن تنظیمات امنیتی، حذف یک حساب کاربری، صدور مجوز دسترسی یا انتقال وجه یا تأیید تراکنش‌ها و غیره استفاده شود

به گزارش سرویس سایبری رسانه اخبار فناوری تکنا، پالوس ییبلو محقق امنیتی و شکارچی باگ، نوع جدیدی از حملات به اصطلاح «کلیک‌جکینگ» را فاش کرده است. این حملات کاربران را فریب می‌دهند تا روی دکمه‌های پنهان یا مبدل شده‌ای که هرگز قصد کلیک کردن روی آن‌ها را نداشته‌اند، کلیک کنند. حملات تک‌کلیکی برای مهاجمان کم‌کاربردتر شده‌اند، زیرا مرورگرهای مدرن دیگر کوکی‌های بین سایتی ارسال نمی‌کنند. برای دور زدن این محدودیت، هکرها حمله‌ی کلیک‌جکینگ را با تغییری جدید به‌روز کرده‌اند: معرفی کلیک دوم.

ییبلو در یک پست وبلاگی اظهار داشت که اگرچه ممکن است این تغییر کوچک به نظر برسد، اما دری را به روی حملات جدید دستکاری رابط کاربری باز می‌کند که از تمام محافظت‌های شناخته شده‌ی کلیک‌جکینگ عبور می‌کند. برای کاربران، سایت فیشینگ به عنوان یک اعلان معمولی «کپچا» ظاهر می‌شود و از کاربر می‌خواهد با دوبار کلیک روی یک دکمه، تأیید کند که انسان است. در پسِ آن، هکرها قابلیتی را اضافه می‌کنند که یک صفحه‌ی حساس، مانند تأییدیه‌ی مجوز OAuth، را در پس‌زمینه بارگذاری می‌کند. هنگامی که کاربر دوبار کلیک می‌کند، اولین کلیک پنجره‌ی بالایی را می‌بندد و صفحه‌ی حساس را آشکار می‌کند. سپس کلیک دوم ماوس روی صفحه‌ی حساس قرار می‌گیرد و مجوز را تأیید می‌کند، اجازه دسترسی می‌دهد یا هر عمل دیگری را کامل می‌کند.

سرعت کلیک بر این حمله تأثیری ندارد، زیرا هکرها از کنترل‌کننده‌های رویداد mousedown استفاده می‌کنند. این محقق بیان کرد که سایت مخرب می‌تواند به سرعت یک پنجره‌ی حساس‌تر را از همان جلسه‌ی مرورگر (به عنوان مثال، یک درخواست مجوز OAuth) جایگزین کند و به طور مؤثر کلیک دوم را برباید. او اضافه کرد روش‌های زیادی برای انجام این جابجایی وجود دارد و مطمئن‌ترین و روان‌ترین روشی که او پیدا کرده استفاده از window.open.location است.

این تکنیک جدید همچنین می‌تواند برای حمله به افزونه‌های مرورگر استفاده شود. این محقق همچنین یک کد اثبات مفهوم و نمونه‌هایی را به اشتراک گذاشت که مهاجمان می‌توانند از آنها برای به دست گرفتن حساب‌های اسلک، شاپیفای و سیلزفورس استفاده کنند.

وب‌سایت‌ها می‌توانند با غیرفعال کردن پیش‌فرض دکمه‌های حیاتی، میزان قرار گرفتن در معرض خطر را محدود کنند، مگر اینکه یک حرکت آغاز شده توسط کاربر قبلی، مانند حرکت ماوس یا استفاده از صفحه کلید، قبل از فعال شدن این دکمه‌ها شناسایی شود. راه‌حل‌های بلندمدت نیازمند به‌روزرسانی مرورگرها و استانداردهای جدید برای دفاع در برابر سوءاستفاده از دوبار کلیک خواهد بود. ییبلو پیشنهاد می‌کند که هر صفحه‌ای که تأیید دامنه‌ی OAuth، تأیید پرداخت یا سایر اقدامات با امتیاز بالا را انجام می‌دهد، باید تا زمانی که مرورگرها راه‌حل‌هایی ارائه دهند، اسکریپت دفاعی را شامل شود. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید.