Angebot für Mehrfachlizenz-Rabatt
Problem DoubleClickjacking-Exploit

DoubleClickjacking-Exploit

Von Mezo in Problem
Übersetzen Sie in:
Deutsch

Bedrohungsanalysten haben eine neue Klasse zeitbasierter Schwachstellen entdeckt, die eine Doppelklicksequenz ausnutzen, um Clickjacking-Angriffe und unbefugten Kontozugriff auf zahlreichen wichtigen Websites zu ermöglichen. Diese als DoubleClickjacking bezeichnete Technik führt einen neuartigen Ansatz zur UI-Manipulation ein, der vorhandene Sicherheitsmaßnahmen umgeht.

Ein neuer Ansatz gegen Clickjacking

Im Gegensatz zu herkömmlichen Clickjacking-Methoden, die auf einem einzelnen Benutzerklick basieren, nutzt DoubleClickjacking die kurze Verzögerung zwischen zwei aufeinanderfolgenden Klicks. Dies mag zwar wie eine geringfügige Änderung erscheinen, umgeht jedoch effektiv Schutzmaßnahmen wie den X-Frame-Options-Header und die SameSite: Lax/Strict-Cookieeinstellungen.

Beim Clickjacking, auch als UI-Redressing bekannt, werden Benutzer dazu verleitet, mit Elementen zu interagieren, die sie als harmlos erachten – wie etwa Schaltflächen –, was jedoch unbeabsichtigte Aktionen auslöst, darunter Datenexfiltration oder Sicherheitsverletzungen. DoubleClickjacking verfeinert dieses Konzept, indem es das Intervall zwischen den Klicks ausnutzt, wodurch Angreifer Sicherheitskontrollen außer Kraft setzen und Konten mit minimaler Benutzerbeteiligung kapern können.

So funktioniert der Angriff

Die Technik läuft in folgender Reihenfolge ab:

  • Ein Benutzer besucht eine betrügerische Website, die entweder automatisch eine neue Browserregisterkarte öffnet oder ihn dazu auffordert.
  • Dieses neue Fenster, das als routinemäßige CAPTCHA-Verifizierung erscheinen kann, fordert den Benutzer auf, doppelzuklicken.
  • Beim Doppelklicken wird die ursprüngliche Site heimlich auf eine bösartige Seite umgeleitet, beispielsweise zu einer OAuth-Autorisierungsanforderung.
  • Gleichzeitig schließt sich das Popup-Fenster, was dazu führt, dass der Benutzer unwissentlich einer wichtigen Berechtigungsanfrage auf der ursprünglichen Site zustimmt.

Da die meisten Sicherheitsmaßnahmen im Internet nur darauf ausgelegt sind, einzelnen erzwungenen Klicks entgegenzuwirken, umgeht diese Methode herkömmliche Schutzmaßnahmen. Maßnahmen wie X-Frame-Options, SameSite-Cookies und Content Security Policy (CSP) können diese Bedrohung nicht eindämmen.

Präventive Maßnahmen und langfristige Lösungen

Um dieses Problem zu lösen, können Website-Entwickler clientseitige Schutzmechanismen implementieren, die wichtige Aktionsschaltflächen deaktivieren, sofern keine vom Benutzer initiierte Mausbewegung oder ein Tastendruck erkannt wird. Einige Plattformen, darunter Dropbox, verwenden bereits solche Abwehrmechanismen, um unbefugte Interaktionen zu verhindern.

Als langfristige Lösung empfehlen Sicherheitsexperten den Browser-Anbietern, neue Standards ähnlich den X-Frame-Optionen zu etablieren, um Doppelklick-basierte Angriffe wirksam abzuwehren.

Eine neue Variante des Clickjacking

DoubleClickjacking ist eine Weiterentwicklung gut dokumentierter Clickjacking-Techniken, bei denen subtile zeitliche Lücken zwischen Benutzeraktionen ausgenutzt werden, um legitime UI-Elemente im Handumdrehen durch irreführende zu ersetzen.

Diese Offenlegung folgt einer früheren Enthüllung von Cross-Window-Forgery (Gesture-Jacking), einer weiteren Variante des Clickjacking. Bei dieser Technik werden Benutzer dazu gebracht, auf einer kompromittierten Website Tasten wie die Eingabe- oder Leertaste zu drücken oder gedrückt zu halten, wodurch unbeabsichtigte Aktionen ausgelöst werden.

Auf Plattformen wie Coinbase und Yahoo! könnten Angreifer Gesten-Jacking nutzen, um Konten zu kapern. Wenn ein angemeldeter Benutzer eine unsichere Website besucht und die Eingabe- oder Leertaste drückt, könnte er unwissentlich eine betrügerische OAuth-Anwendung autorisieren. Dies ist möglich, weil beide Plattformen es OAuth-Anwendungen ermöglichen, umfassenden Zugriff anzufordern und Autorisierungsschaltflächen vorhersehbare, statische Kennungen zuzuweisen, was sie anfällig für Missbrauch macht.

Da sich die Clickjacking-Methoden ständig weiterentwickeln, müssen Sicherheitsteams proaktive Abwehrmaßnahmen ergreifen, um Benutzerinteraktionen vor immer ausgefeilteren Bedrohungen zu schützen.

Wird geladen...