„DoubleClickjacking“ išnaudojimas: dar vienas iššūkis saugumui internete
Table of Contents
„DoubleClickjacking“ supratimas
„DoubleClickjacking“ yra pažangi technika, naudojama „clickjacking“ atakoms, leidžianti kibernetiniams nusikaltėliams manipuliuoti naudotojų veiksmais patikimose svetainėse. Skirtingai nuo tradicinio paspaudimo užgrobimo, kuris išnaudoja vieną paspaudimą, šis metodas naudoja greitą dvigubo paspaudimo seką, kad būtų išvengta apsaugos priemonių. Ši technika naudoja įvykių laiką tarp dviejų iš eilės paspaudimų, kad būtų atlikti neleistini veiksmai, pvz., suteikiami leidimai kenkėjiškai programai arba pažeistos vartotojų paskyros.
Taikant metodą naudojami apgaulingi žiniatinklio elementai, dėl kurių nieko neįtariantis vartotojas mano, kad jis sąveikauja su teisėta sąsaja. Tačiau išnaudodami trumpą akimirką tarp dviejų paspaudimų, užpuolikai sklandžiai pakeičia nekenksmingą veiksmą kenksmingu, apeidami nustatytas saugos priemones, pvz., X-Frame-Options antraštes ir SameSite slapukus.
Kaip veikia išnaudojimas
„DoubleClickjacking“ atakos vykdymas paprastai apima daugybę veiksmų, kuriais vartotojai apgaudinėjami netyčia patvirtinti kenkėjiškus veiksmus. Jis prasideda, kai vartotojas apsilanko pažeistoje arba užpuolikų valdomoje svetainėje, kurioje automatiškai atidaromas naujas naršyklės langas arba pateikiamas mygtukas, kurį vartotojas raginamas spustelėti.
Šis antrinis langas gali pasirodyti nekenksmingas, pvz., CAPTCHA patvirtinimas. Tačiau užpuolikas pasinaudoja laukiamu vartotojo atsaku dukart spustelėjus. Kai antrasis spustelėjimas baigiamas, paslėptas scenarijus nukreipia seansą į kenkėjišką vietą. Tą pačią akimirką pradinis langas užsidaro, todėl auka nežino, kad ką tik suteikė leidimus neleistinai subjektui. Dėl vientiso šio proceso pobūdžio naudotojams jį aptikti nepaprastai sunku.
Kodėl užpuolikai naudoja „DoubleClickjacking“.
Pagrindinis šio išnaudojimo tikslas yra neteisėta prieiga prie vartotojų paskyrų ir jautrių duomenų. Užpuolikai dažnai naudoja jį norėdami užgrobti internetines paskyras, patvirtinti neteisėtas OAuth programas arba valdyti žiniatinklio paslaugas su minimalia vartotojo sąveika. Kadangi daugelis internetinių platformų daro prielaidą, kad priverstinis vienas paspaudimas yra pagrindinis rizikos veiksnys, tradicinės apsaugos priemonės nesugeba atpažinti šio naujo spustelėjimo užgrobimo varianto ir užkirsti jam kelią.
Kibernetiniai nusikaltėliai gali naudoti „DoubleClickjacking“, kad palengvintų duomenų vagystes, finansinį sukčiavimą ir neteisėtas operacijas, nukreipdami į plačiai naudojamas internetines paslaugas. Ši technika gali būti ypač pavojinga platformose, kurios tvarko jautrią naudotojo informaciją, pvz., socialinėje žiniasklaidoje, bankininkystės paslaugose ar debesies saugyklos teikėjuose.
Poveikis saugumui internete
Vienas iš pagrindinių „DoubleClickjacking“ problemų yra tas, kad jis kelia iššūkį esamoms saugos sistemoms. Daugelis svetainių naudoja apsaugą, pvz., turinio saugos politiką (CSP), X-Frame-Options arba „SameSite“ slapukus, kad sumažintų paspaudimų užgrobimo grėsmes. Tačiau šios apsaugos priemonės nebuvo skirtos kovoti su laiku pagrįsta manipuliacija, kurią sukelia šis išnaudojimas.
Be to, išnaudojimas pabrėžia didėjantį prisitaikančių saugumo priemonių poreikį. Kadangi ši technika nesiremia kenkėjiško turinio įterpimu į „iframe“ – vieną iš tradicinių paspaudimų užgrobimo vektorių, esamos mažinimo strategijos pasirodo nepakankamos. Galimybė sukeisti vartotojo sąsajos elementus realiuoju laiku apsunkina ir vartotojams, ir saugos programinei įrangai aptikti kenkėjišką veiklą.
Apsauga nuo DoubleClickjacking
Svetainių administratoriai ir paslaugų teikėjai turi priimti naujas strategijas, kaip kovoti su šia kylančia grėsme. Viena iš efektyviausių atsakomųjų priemonių yra kliento apsaugos priemonių, kurios išjungia jautrius mygtukus, įdiegimas, nebent būtų aptiktas teisėtas vartotojo veiksmas, pvz., pelės judėjimas ar klaviatūros įvestis.
Kai kurios platformos, pvz., „Dropbox“, jau ėmėsi veiksmų, kad sumažintų šią riziką, reikalaudamos papildomo vartotojo patvirtinimo atliekant svarbius veiksmus. Išplėtus tokias saugos funkcijas daugiau internetinių paslaugų, būtų galima sumažinti šio išnaudojimo riziką.
Platesniu mastu naršyklių pardavėjai skatinami įdiegti standartus, kurie sprendžia laiku pagrįstus paspaudimų manipuliavimus. Sukūrus saugos priemones, panašias į X-Frame-Options, bet skirtas kovoti su kelių paspaudimų išnaudojimais, gali būti suteikta ilgalaikė apsauga nuo DoubleClickjacking ir panašių naujų grėsmių.
Žingsnis stipresnės apsaugos internete link
„DoubleClickjacking“ atradimas pabrėžia nuolatinę kibernetinių grėsmių evoliuciją ir tai, kad svarbu atitinkamai pritaikyti apsaugos priemones. Užpuolikams kuriant sudėtingesnius metodus, saugumo tyrinėtojai ir technologijų tiekėjai turi išlikti priekyje, įgyvendindami aktyvias priemones, apsaugančias vartotojus nuo apgaulingų manipuliacijų.
Naudotojų mokymas apie galimą riziką ir užtikrinimas, kad svetainėse būtų pritaikyti apsaugos mechanizmai, gali padėti sumažinti šio išnaudojimo veiksmingumą. Pripažindama įvykių laiko svarbą saugos pažeidžiamumui, pramonė gali siekti atsparesnės apsaugos, užtikrinančios saugią sąveiką internete.
