Een nieuwe cyberdreiging genaamd DoubleClickjacking is onthuld door een beveiligingsonderzoeker Paulos Yibelowaardoor kwetsbaarheden op grote websites worden blootgelegd en bestaande clickjacking-beveiligingen effectief worden omzeild.
Nieuwe cyberdreiging DoubleClickjacking legt grote kwetsbaarheden in websites bloot
DoubleClickjacking is een op timing gebaseerde kwetsbaarheidsklasse die profiteert van een reeks dubbele klikken in plaats van een enkele klik. Yibelo legde uit dat deze kleine verschuiving nieuwe UI-manipulatieaanvallen mogelijk maakt die alle bekende clickjacking-verdedigingen kunnen omzeilen, inclusief de X-Frame-Options-header en SameSite-cookies.
Clickjacking, ook wel UI-redressing genoemd, verleidt gebruikers om op ogenschijnlijk onschuldige webpagina-elementen te klikken, wat kan leiden tot de implementatie van malware of het onderscheppen van gevoelige gegevens. De DoubleClickjacking-techniek maakt gebruik van de timingkloof tussen de eerste klik en de tweede klik om aanvallen uit te voeren met minimale gebruikersinteractie.
DoubleClickjacking omvat verschillende stappen. De aanvaller maakt een onschuldig ogende website die gebruikers vraagt te dubbelklikken op een knop, wat lijkt op een CAPTCHA-verificatie. Wanneer de gebruiker dubbelklikt, gebruikt de aanvaller het JavaScript Window Location-object om heimelijk om te leiden naar een kwaadaardige pagina, zoals een OAuth-autorisatiedialoogvenster. Terwijl het bovenste venster sluit, verleent de gebruiker onbewust toegang door het bevestigingsvenster voor toestemming goed te keuren.
Yibelo merkte op dat de meeste webapplicaties en -frameworks zijn ontworpen om de risico’s die gepaard gaan met enkele gedwongen klikken te beperken, waardoor de huidige clickjacking-verdediging onvoldoende is tegen deze nieuwe variant. De aanval maakt gebruik van de timing en volgorde van gebeurtenissen op manieren die bestaande beveiligingsprotocollen niet effectief kunnen aanpakken.
De kwetsbaarheden die verband houden met DoubleClickjacking vormen aanzienlijke risico’s op platforms die OAuth gebruiken voor accountautorisaties. Getroffen websites lopen het risico te lijden onder accountovernames, ongeautoriseerde autorisatie van kwaadaardige applicaties, wijziging van kritieke accountinstellingen en het initiëren van financiële transacties. Grote websites, waaronder Salesforce, Slack en Shopify, zijn als kwetsbaar aangemerkt.
Deze aanval treft ook browserextensies, zoals crypto-wallets en VPN’s, waardoor aanvallers essentiële beveiligingsfuncties kunnen uitschakelen of transacties kunnen autoriseren zonder toestemming van de gebruiker.
DoubleClickjacking kan traditionele beveiligingen zoals X-Frame-Options-headers, Content Security Policies (CSP) en SameSite-cookies omzeilen. De kwetsbaarheid profiteert van de snelle timing van gebruikersinteracties, waardoor slechts een dubbelklik nodig is om de gebruiker te misbruiken.
De beveiligingsonderzoeker bracht een waarschuwende boodschap uit en stelde dat websites en ontwikkelaars dringend nieuwe beschermende maatregelen moeten implementeren om deze kwetsbaarheid effectief aan te pakken.
Om de DoubleClickjacking-kwetsbaarheid aan te pakken, bevelen beveiligingsexperts verschillende mitigatiestrategieën aan. Er kan een client-side benadering worden gevolgd waarbij ontwikkelaars kritische knoppen standaard uitschakelen totdat echte gebruikersinteractie wordt gedetecteerd, met behulp van JavaScript-oplossingen. Een script kan bijvoorbeeld formulierknoppen uitschakelen totdat muisbewegingen of toetsaanslagen worden geïdentificeerd.
Langetermijnoplossingen houden in dat browserleveranciers nieuwe standaarden introduceren, vergelijkbaar met X-Frame-Options, ter bescherming tegen snelle contextwisselingen tijdens dubbelklikreeksen. Aanbevolen maatregelen zijn onder meer het maken van een HTTP-header met Double-Click-Protection en het aanpassen van CSP-richtlijnen om rekening te houden met scenario’s met meerdere klikken.
Bovendien moeten ontwikkelaars beschermende scripts aan gevoelige pagina’s toevoegen en strengere controles op ingebedde vensters of op openers gebaseerde navigatie afdwingen om de verdediging tegen deze nieuwe aanvalsmethode te versterken.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
Het bericht Hoe DoubleClickjacking kan leiden tot accountovernames op grote platforms verscheen voor het eerst op TechBriefly.
Source: Hoe DoubleClickjacking kan leiden tot accountovernames op grote platforms
