پالوس ییبلو محقق امنیتی و شکارچی باگ، نوع جدیدی از حملات به اصطلاح «کلیکجکینگ» را فاش کرده است.
این حملات کاربران را فریب میدهند تا روی دکمههای پنهان یا مبدل شدهای که هرگز قصد کلیک کردن روی آنها را نداشتهاند، کلیک کنند. حملات تککلیکی برای مهاجمان کمکاربردتر شدهاند، زیرا مرورگرهای مدرن دیگر کوکیهای بین سایتی ارسال نمیکنند.
برای دور زدن این محدودیت، هکر ها حملهی کلیکجکینگ را با تغییری جدید بهروز کردهاند: معرفی کلیک دوم.
به گزارش سرویس اخبار امنیت سایت شات ایکس و به نقل از نبض فناوری ییبلو در یک پست وبلاگی اظهار داشت که اگرچه ممکن است این تغییر کوچک به نظر برسد، اما دری را به روی حملات جدید دستکاری رابط کاربری باز میکند که از تمام محافظتهای شناخته شدهی کلیکجکینگ عبور میکند. برای کاربران، سایت فیشینگ به عنوان یک اعلان معمولی «کپچا» ظاهر میشود و از کاربر میخواهد با دوبار کلیک روی یک دکمه، تأیید کند که انسان است. در پسِ آن، هکرها قابلیتی را اضافه میکنند که یک صفحهی حساس، مانند تأییدیهی مجوز OAuth، را در پسزمینه بارگذاری میکند.
هنگامی که کاربر دوبار کلیک میکند، اولین کلیک پنجرهی بالایی را میبندد و صفحهی حساس را آشکار میکند. سپس کلیک دوم ماوس روی صفحهی حساس قرار میگیرد و مجوز را تأیید میکند، اجازه دسترسی میدهد یا هر عمل دیگری را کامل میکند.
سرعت کلیک بر این حمله تأثیری ندارد، زیرا هکر ها از کنترلکنندههای رویداد mousedown استفاده میکنند. این محقق بیان کرد که سایت مخرب میتواند به سرعت یک پنجرهی حساستر را از همان جلسهی مرورگر (به عنوان مثال، یک درخواست مجوز OAuth) جایگزین کند و به طور مؤثر کلیک دوم را برباید. او اضافه کرد روشهای زیادی برای انجام این جابجایی وجود دارد و مطمئنترین و روانترین روشی که او پیدا کرده استفاده از window.open.location است.
این تکنیک جدید همچنین میتواند برای حمله به افزونههای مرورگر استفاده شود. این محقق همچنین یک کد اثبات مفهوم و نمونههایی را به اشتراک گذاشت که مهاجمان میتوانند از آنها برای به دست گرفتن حسابهای اسلک، شاپیفای و سیلزفورس استفاده کنند.
وبسایتها میتوانند با غیرفعال کردن پیشفرض دکمههای حیاتی، میزان قرار گرفتن در معرض خطر را محدود کنند، مگر اینکه یک حرکت آغاز شده توسط کاربر قبلی، مانند حرکت ماوس یا استفاده از صفحه کلید، قبل از فعال شدن این دکمهها شناسایی شود. راهحلهای بلندمدت نیازمند بهروزرسانی مرورگرها و استانداردهای جدید برای دفاع در برابر سوءاستفاده از دوبار کلیک خواهد بود. ییبلو پیشنهاد میکند که هر صفحهای که تأیید دامنهی OAuth، تأیید پرداخت یا سایر اقدامات با امتیاز بالا را انجام میدهد، باید تا زمانی که مرورگرها راهحلهایی ارائه دهند، اسکریپت دفاعی را شامل شود. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید./تکنا