Pemburu ancaman telah mengungkapkan “kelas kerentanan berbasis waktu yang tersebar luas” yang memanfaatkan urutan klik dua kali untuk memfasilitasi serangan clickjacking dan pengambilalihan akun di hampir semua situs web utama.
Teknik ini telah diberi nama kode Pembajakan Klik Ganda oleh peneliti keamanan Paulos Yibelo.
“Daripada mengandalkan satu klik, ia memanfaatkan rangkaian klik dua kali,” kata Yibelo. “Meskipun mungkin terdengar seperti perubahan kecil, ini membuka pintu bagi serangan manipulasi UI baru yang melewati semua perlindungan clickjacking yang diketahui, termasuk header X-Frame-Options atau SameSite: Lax/Strict cookie.”
Clickjacking, juga disebut perbaikan UI, mengacu pada teknik serangan di mana pengguna ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya (misalnya tombol), yang mengarah pada penyebaran malware atau eksfiltrasi data sensitif.
DoubleClickjacking adalah variasi dari tema ini yang memanfaatkan celah antara awal klik dan akhir klik kedua untuk melewati kontrol keamanan dan pengambilalihan akun dengan interaksi minimal.
Secara khusus, ini melibatkan langkah-langkah berikut –
- Pengguna mengunjungi situs yang dikendalikan penyerang yang membuka jendela (atau tab) browser baru tanpa interaksi pengguna apa pun atau hanya dengan mengklik tombol.
- Jendela baru, yang dapat meniru sesuatu yang tidak berbahaya seperti verifikasi CAPTCHA, meminta pengguna mengklik dua kali untuk menyelesaikan langkah tersebut.
- Saat klik dua kali sedang berlangsung, situs induk menggunakan objek Lokasi Jendela JavaScript untuk secara diam-diam mengalihkan ke halaman berbahaya (misalnya, menyetujui aplikasi OAuth berbahaya)
- Pada saat yang sama, jendela atas ditutup, memungkinkan pengguna tanpa sadar memberikan akses dengan menyetujui dialog konfirmasi izin.
“Sebagian besar aplikasi web dan kerangka kerja berasumsi bahwa hanya satu klik paksa yang menimbulkan risiko,” kata Yibelo. “DoubleClickjacking menambahkan lapisan yang tidak pernah dirancang untuk ditangani oleh banyak pertahanan. Metode seperti X-Frame-Options, cookie SameSite, atau CSP tidak dapat bertahan melawan serangan ini.”
Pemilik situs web dapat menghilangkan kelas kerentanan menggunakan pendekatan sisi klien yang menonaktifkan tombol-tombol penting secara default kecuali gerakan mouse atau penekanan tombol terdeteksi. Layanan seperti Dropbox sudah menerapkan tindakan pencegahan seperti itu.
Sebagai solusi jangka panjang, disarankan agar vendor browser mengadopsi standar baru seperti X-Frame-Options untuk bertahan dari eksploitasi klik dua kali.
“DoubleClickjacking adalah variasi dari kelas serangan yang terkenal,” kata Yibelo. “Dengan mengeksploitasi waktu kejadian di antara klik, penyerang dapat dengan mudah menukar elemen UI yang tidak berbahaya dengan elemen sensitif dalam sekejap mata.”
Pengungkapan ini terjadi hampir setahun setelah peneliti juga mendemonstrasikan varian clickjacking lain yang disebut pemalsuan lintas jendela (alias pembajakan isyarat) yang mengandalkan membujuk korban untuk menekan atau menahan tombol Enter atau bilah spasi di situs web yang dikendalikan penyerang untuk memulai serangan. tindakan jahat.
Di situs web seperti Coinbase dan Yahoo!, hal ini dapat disalahgunakan untuk mencapai pengambilalihan akun “jika korban yang masuk ke salah satu situs mengunjungi situs web penyerang dan memegang tombol Enter/Spasi.”
“Hal ini dimungkinkan karena kedua situs mengizinkan calon penyerang membuat aplikasi OAuth dengan cakupan luas untuk mengakses API mereka, dan keduanya menetapkan nilai 'ID' statis dan/atau dapat diprediksi ke tombol 'Izinkan/Otorisasi' yang digunakan untuk mengotorisasi aplikasi ke akun korban.”
