Uma nova ameaça cibernética chamada DoubleClickjacking foi divulgada por um pesquisador de segurança Paulo Yibeloexpondo vulnerabilidades nos principais sites e contornando efetivamente as proteções existentes contra clickjacking.
Nova ameaça cibernética DoubleClickjacking expõe grandes vulnerabilidades de sites
DoubleClickjacking é uma classe de vulnerabilidade baseada em tempo que aproveita uma sequência de clique duplo em vez de um único clique. Yibelo explicou que esta pequena mudança permite novos ataques de manipulação de UI que podem contornar todas as defesas conhecidas de clickjacking, incluindo o cabeçalho X-Frame-Options e os cookies SameSite.
O clickjacking, também conhecido como correção da interface do usuário, induz os usuários a clicar em elementos aparentemente inofensivos da página da web, o que pode levar à implantação de malware ou à exfiltração de dados confidenciais. A técnica DoubleClickjacking explora o intervalo de tempo entre o primeiro e o segundo clique para executar ataques com interação mínima do usuário.
DoubleClickjacking envolve várias etapas. O invasor cria um site de aparência inocente que solicita aos usuários que cliquem duas vezes em um botão, o que pode parecer uma verificação CAPTCHA. Quando o usuário inicia o clique duplo, o invasor emprega o objeto JavaScript Window Location para redirecionar furtivamente para uma página maliciosa, como uma caixa de diálogo de autorização OAuth. À medida que a janela superior fecha, o usuário concede acesso sem saber, aprovando a caixa de diálogo de confirmação de permissão.
Yibelo observou que a maioria dos aplicativos e estruturas da web são projetados para mitigar os riscos associados a cliques forçados únicos, tornando as atuais defesas contra clickjacking inadequadas contra esta nova variante. O ataque aproveita o tempo e a sequência de eventos de uma forma que os protocolos de segurança existentes não conseguem resolver de forma eficaz.
As vulnerabilidades associadas ao DoubleClickjacking representam riscos significativos em plataformas que utilizam OAuth para autorizações de contas. Os sites afetados correm o risco de sofrer invasões de contas, autorização não autorizada de aplicativos maliciosos, alteração de configurações críticas de contas e início de transações financeiras. Os principais sites, incluindo Salesforce, Slack e Shopify, foram identificados como vulneráveis.
Este ataque também afeta extensões de navegadores, como carteiras criptografadas e VPNs, permitindo que invasores desabilitem recursos essenciais de segurança ou autorizem transações sem o consentimento do usuário.
DoubleClickjacking pode escapar de proteções tradicionais, como cabeçalhos X-Frame-Options, políticas de segurança de conteúdo (CSP) e cookies SameSite. A vulnerabilidade aproveita o tempo rápido das interações do usuário, exigindo apenas um clique duplo para explorar o usuário.
O investigador de segurança transmitiu uma mensagem de advertência, afirmando que os websites e os desenvolvedores precisam implementar urgentemente novas medidas de proteção para enfrentar esta vulnerabilidade de forma eficaz.
Para resolver a vulnerabilidade do DoubleClickjacking, os especialistas em segurança recomendam várias estratégias de mitigação. Uma abordagem do lado do cliente pode ser adotada, onde os desenvolvedores desativam botões críticos por padrão até que a interação genuína do usuário seja detectada, utilizando soluções JavaScript. Por exemplo, um script pode desabilitar botões de formulário até que o movimento do mouse ou o pressionamento de teclas sejam identificados.
As soluções de longo prazo envolvem os fornecedores de navegadores introduzindo novos padrões semelhantes aos X-Frame-Options para se defender contra a rápida troca de contexto durante sequências de clique duplo. As medidas recomendadas podem incluir a criação de um cabeçalho HTTP com proteção contra clique duplo e a adaptação das diretivas CSP para levar em conta cenários de vários cliques.
Além disso, os desenvolvedores devem adicionar scripts de proteção a páginas confidenciais e impor controles mais rígidos sobre janelas incorporadas ou navegação baseada em abertura para fortalecer as defesas contra esse novo método de ataque.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
A postagem Como o DoubleClickjacking pode levar a aquisições de contas nas principais plataformas apareceu pela primeira vez no TechBriefly.
Source: Como o DoubleClickjacking pode levar a aquisições de contas nas principais plataformas
