استغلال “DoubleClickjacking” الجديد يتجاوز حماية Clickjacking على مواقع الويب الرئيسية

01 يناير 2025رافي لاكشمانانأمن الويب / الضعف

كشف صائدو التهديدات عن “فئة ثغرات أمنية جديدة واسعة النطاق تعتمد على التوقيت” والتي تعمل على الاستفادة من أ تسلسل النقر المزدوج لتسهيل هجمات Clickjacking والاستيلاء على الحسابات في جميع مواقع الويب الرئيسية تقريبًا.

وقد تم تسمية هذه التقنية باسم رمزي DoubleClickjacking بقلم الباحث الأمني ​​باولوس يبيلو.

“بدلاً من الاعتماد على نقرة واحدة، فإنه يستفيد من تسلسل النقر المزدوج”، قال يبيلو قال. “على الرغم من أن الأمر قد يبدو وكأنه تغيير بسيط، إلا أنه يفتح الباب أمام هجمات جديدة للتلاعب بواجهة المستخدم والتي تتجاوز جميع وسائل الحماية المعروفة لاختراق النقرات، بما في ذلك رأس X-Frame-Options أو ملف تعريف الارتباط SameSite: Lax/Strict.”

اختطاف النقراتويشير أيضًا إلى معالجة واجهة المستخدم، إلى أسلوب هجوم يتم من خلاله خداع المستخدمين للنقر على عنصر صفحة ويب يبدو غير ضار (على سبيل المثال، زر)، مما يؤدي إلى نشر برامج ضارة أو تسرب بيانات حساسة.

يعد DoubleClickjacking أحد أشكال هذا الموضوع الذي يستغل الفجوة بين بداية النقرة ونهاية النقرة الثانية لتجاوز عناصر التحكم الأمنية وحسابات الاستيلاء بأقل قدر من التفاعل.

على وجه التحديد، فإنه يتضمن الخطوات التالية –

• يزور المستخدم موقعًا يتحكم فيه المهاجم والذي يفتح إما نافذة (أو علامة تبويب) متصفح جديدة دون أي تفاعل من المستخدم أو بنقرة زر واحدة.
• النافذة الجديدة، التي يمكن أن تحاكي شيئًا غير ضار مثل التحقق من اختبار CAPTCHA، تطالب المستخدم بالنقر المزدوج لإكمال الخطوة.
• أثناء إجراء النقر المزدوج، يستخدم الموقع الأصلي JavaScript موقع النافذة الاعتراض على إعادة التوجيه بشكل خفي إلى صفحة ضارة (على سبيل المثال، الموافقة على تطبيق OAuth ضار)
• وفي الوقت نفسه، يتم إغلاق النافذة العلوية، مما يسمح للمستخدم بمنح حق الوصول دون علمه من خلال الموافقة على مربع حوار تأكيد الإذن.

وقال يبيلو: “تفترض معظم تطبيقات وأطر الويب أن نقرة واحدة فقط تشكل خطراً”. “يضيف DoubleClickjacking طبقة لم يتم تصميم العديد من الدفاعات للتعامل معها مطلقًا. لا يمكن لطرق مثل X-Frame-Options أو ملفات تعريف الارتباط SameSite أو CSP الدفاع ضد هذا الهجوم.”

يمكن لمالكي مواقع الويب التخلص من فئة الثغرة الأمنية باستخدام نهج من جانب العميل يعمل على تعطيل الأزرار المهمة افتراضيًا ما لم يتم اكتشاف إيماءة الماوس أو الضغط على المفتاح. لقد تم اكتشاف أن خدمات مثل Dropbox تستخدم بالفعل مثل هذه الإجراءات الوقائية.

كحلول طويلة المدى، يوصى بأن يتبنى بائعو المتصفح معايير جديدة مشابهة لخيارات X-Frame للحماية من استغلال النقر المزدوج.

وقال يبيلو: “إن DoubleClickjacking عبارة عن تطور في فئة الهجوم المعروفة”. “من خلال استغلال توقيت الحدث بين النقرات، يمكن للمهاجمين بسهولة استبدال عناصر واجهة المستخدم الحميدة بعناصر حساسة في غمضة عين.”

يأتي هذا الكشف بعد مرور عام تقريبًا على قيام الباحث أيضًا بإظهار متغير آخر من نوع Clickjacking يسمى تزوير النوافذ المتقاطعة (المعروف أيضًا باسم سرقة الإيماءات) التي تعتمد على إقناع الضحية بالضغط أو الاستمرار على مفتاح Enter أو شريط المسافة على موقع ويب يتحكم فيه المهاجم لبدء إجراء ضار.

على مواقع مثل Coinbase وYahoo!، من الممكن أن يكون الأمر كذلك سوء المعاملة لتحقيق الاستيلاء على الحساب “إذا انتقل الضحية الذي قام بتسجيل الدخول إلى أي من الموقعين إلى موقع ويب للمهاجم ويحمل مفتاح Enter/Space.”

“هذا ممكن لأن كلا الموقعين يسمحان لمهاجم محتمل بإنشاء تطبيق OAuth بنطاق واسع للوصول إلى واجهة برمجة التطبيقات الخاصة بهم، ويقوم كلاهما بتعيين قيمة “معرف” ثابتة و/أو يمكن التنبؤ بها إلى زر “السماح/التفويض” الذي يتم استخدامه لـ السماح بالتطبيق في حساب الضحية.”