دعوا دابل-کلیک‌جکینگ؛ سرقت حساب‌های کاربری با دو کلیک_خبررسان

فاصله وقتی بین دو کلیک ماوس برای هکرها کافی است تا صفحات وب را جابجا کرده و قربانیان را فریب دهند تا به طور اتفاقی مجوز دسترسی یا انتقال وجه را صادر کنند. «دابل-کلیک‌جکینگ» می‌تواند برای به دست آوردن مجوزهای OAuth و API برای اکثر وب‌سایت‌های بزرگ، انجام تغییرات حساب کاربری با یک کلیک، همانند غیرفعال کردن تنظیمات امنیتی، حذف یک حساب کاربری، صدور مجوز دسترسی یا انتقال وجه یا قبول تراکنش‌ها و غیره منفعت گیری شود

به گزارش سرویس سایبری رسانه اخبار فناوری تکنا، پالوس ییبلو محقق امنیتی و شکارچی باگ، نوع جدیدی از حملات به کلمه «کلیک‌جکینگ» را آشکار کرده است. این حملات کاربران را فریب خواهند داد تا روی دکمه‌های نهان یا مبدل شده‌ای که هیچ زمان تصمیم کلیک کردن روی آن‌ها را نداشته‌اند، کلیک کنند. حملات تک‌کلیکی برای مهاجمان کم‌کاربردتر شده‌اند، چون مرورگرهای مدرن دیگر کوکی‌های بین سایتی ارسال نمی‌کنند. برای دور زدن این محدودیت، هکرها دعوا‌ی کلیک‌جکینگ را با تغییری تازه به‌روز کرده‌اند: معارفه کلیک دوم.

ییبلو در یک پست وبلاگی اظهار داشت که اگرچه امکان پذیر این تحول کوچک به نظر برسد، اما دری را به روی حملات تازه دستکاری رابط کاربری باز می‌کند که از همه محافظت‌های شناخته شده‌ی کلیک‌جکینگ عبور می‌کند. برای کاربران، سایت فیشینگ به گفتن یک اعلان معمولی «کپچا» ظاهر می‌شود و از کاربر می‌خواهد با دوبار کلیک روی یک دکمه، قبول کند که انسان است. در بعدِ آن، هکرها قابلیتی را اضافه می‌کنند که یک صفحه‌ی حساس، همانند تأییدیه‌ی مجوز OAuth، را در بعد‌عرصه بارگذاری می‌کند. هنگامی که کاربر دوبار کلیک می‌کند، اولین کلیک پنجره‌ی بالایی را می‌بندد و صفحه‌ی حساس را آشکار می‌کند. سپس کلیک دوم ماوس روی صفحه‌ی حساس قرار می‌گیرد و مجوز را قبول می‌کند، اجازه دسترسی می‌دهد یا هر عمل فرد دیگر را کامل می‌کند.

شدت کلیک بر این دعوا تأثیری ندارد، چون هکرها از کنترل‌کننده‌های اتفاقات mousedown منفعت گیری می‌کنند. این محقق فرمود که سایت مخرب می‌تواند به شدت یک پنجره‌ی حساس‌تر را از همان جلسه‌ی مرورگر (به گفتن مثال، یک خواست مجوز OAuth) جانشین کند و به طور مؤثر کلیک دوم را برباید. او اضافه کرد راه حلهای بسیاری برای انجام این جابجایی وجود دارد و یقین‌ترین و روان‌ترین روشی که او اشکار کرده منفعت گیری از window.open.location است.

این تکنیک تازه این چنین می‌تواند برای دعوا به افزونه‌های مرورگر منفعت گیری شود. این محقق این چنین یک کد اثبات مفهوم و مثالهایی را به اشتراک گذاشت که مهاجمان می‌توانند از آنها برای به دست گرفتن حساب‌های اسلک، شاپیفای و سیلزفورس منفعت گیری کنند.

وب‌سایت‌ها می‌توانند با غیرفعال کردن پیش‌فکر دکمه‌های حیاتی، مقدار قرار گرفتن در معرض خطر را محدود کنند، مگر این که یک حرکت اغاز شده توسط کاربر قبلی، همانند حرکت ماوس یا منفعت گیری از صفحه کلید، قبل از فعال شدن این دکمه‌ها شناسایی شود. راه‌حل‌های طویل مدت نیازمند به‌روزرسانی مرورگرها و استانداردهای تازه برای دفاع در برابر سوءاستفاده از دوبار کلیک خواهد می بود. ییبلو نظر می‌کند که هر صفحه‌ای که قبول دامنه‌ی OAuth، قبول پرداخت یا دیگر عمل های با امتیاز بالا را انجام می‌دهد، باید تا وقتی که مرورگرها راه‌حل‌هایی اراعه دهند، اسکریپت دفاعی را شامل شود. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید.