Zneužití dvojkliku vede k nechtěné aktivaci citlivé funkce
V bezpečnostní branži se nový typ útoku označuje jako "DoubleClickjacking". Upozornil na něj bezpečnostní expert Paulos Yibelo, který v této souvislosti varuje, že doposud známá ochranná opatření nejsou proti nové metodě účinná. Útočníci se různými podvrhy a klamáním snaží uživatele přimět, aby autorizovali citlivé akce dvojitým kliknutím.
Útok zpravidla vypadá tak, že jeho strůjci vytvoří webové stránky s manipulativním obsahem a neškodně vypadajícím tlačítkem, na které se snaží přimět uživatele kliknout. Zpravidla to bývá lákání na nějakou odměnu, film či videoklip.
Pokud uživatel na tlačítko klikne, vytvoří se nové okno, které překryje původní stránku a zobrazí například captchu. Mezitím škodlivý javascriptový kód v pozadí změní původní stránku na "legitimní web", kterým se útočníci snaží přimět uživatele k provedení další akce.
Mohlo by vás zajímat
Captcha v překryvném okně návštěvníka vyzve, aby poklepal myší na některý z prvků na stránce, čímž ji údajně vyřeší. A to je přesně to, co útočníci chtějí: při dvojkliku se bleskově skryje překryvné okno s captchou a druhý klik už směruje na autorizační tlačítko nebo aktivní odkaz na dříve skrytou legitimní stránku.
To celé způsobí, že uživatel omylem klikne na zobrazené tlačítko, čímž povolí instalaci zásuvného modulu pro instalaci autorizační aplikace k propojení se svým účtem, případně potvrdí výzvu vícefaktorového ověření.
Bezpečnostní expert varuje: nová metoda útoku může vyvolat mnoho akcí
Zdroj: Dall-e (vytvořeno pomocí umělé inteligence)
Velmi rizikové u tohoto typu útoku je, že obchází všechny současné ochrany proti clickjackingu. Ke škodlivým akcím dochází přímo na stránkách, které nejsou chráněné. Metoda nepoužívá iframe a neposílá soubory cookie napříč doménami.
Paulos Yibelo také upozorňuje na skutečnost, že tento typ útoku se týká bezmála všech webových stránek. Ve svých ukázkách předvedl, jak lze pomocí tohoto podvodu získat přístup k účtům Shopify, Slack a Salesforce.
Útokem se také dá zmanipulovat rozšíření prohlížeče. Existuje "Proof-of-Concepts", který demonstruje ovládnutí jedné velmi rozšířené kryptopeněženky, kde lze popsanou metodu zneužít k autorizaci transakcí Web3 nebo deaktivaci VPN k prozrazení IP adresy.
Mohlo by vás zajímat
Metoda je zneužitelná i na smartphonech, kde vyžaduje od uživatele akci dvojitého klepnutí na konkrétní prvek, zobrazený na displeji.
Jako ochranu před tímto typem útoku Yibelo sdílel JavaScript, který lze přidat na webové stránky a vypnout tím citlivá tlačítka. Tím se dá zabránit automatickému kliknutí na autorizační tlačítko při dvojkliku a odstranění manipulativního překryvu útočníka. Tlačítka by byla deaktivována do okamžiku rozpoznání platné akce či gesta uživatele.
Bezpečnostní expert také navrhuje zavedení HTTP hlavičky, která by blokovala rychlé přepínání mezi okny v průběhu sekvence dvojitého kliknutí.
Zdroj: Bleeping Computer, Paulos Yibelo
4 foto
video
