حمله دابل-کلیک‌جکینگ؛ سرقت حساب‌های کاربری با دو کلیک

دعوا دابل-کلیک‌جکینگ؛ سرقت حساب‌های کاربری با دو کلیک_سیاه پوش


نوشته و ویرایش شده توسط مجله سیاه پوش

فاصله وقتی بین دو کلیک ماوس برای هکرها کافی است تا صفحات وب را جابجا کرده و قربانیان را فریب دهند تا به طور اتفاقی مجوز دسترسی یا انتقال وجه را صادر کنند. «دابل-کلیک‌جکینگ» می‌تواند برای به دست آوردن مجوزهای OAuth و API برای اکثر وب‌سایت‌های بزرگ، انجام تغییرات حساب کاربری با یک کلیک، همانند غیرفعال کردن تنظیمات امنیتی، حذف یک حساب کاربری، صدور مجوز دسترسی یا انتقال وجه یا قبول تراکنش‌ها و غیره منفعت گیری بشود

به نقل از سرویس سایبری رسانه اخبار فناوری تکنا، پالوس ییبلو محقق امنیتی و شکارچی باگ، نوع جدیدی از حملات به کلمه «کلیک‌جکینگ» را آشکار کرده است. این حملات کاربران را فریب خواهند داد تا روی دکمه‌های نهان یا مبدل شده‌ای که هیچ زمان تصمیم کلیک کردن روی آن‌ها را نداشته‌اند، کلیک کنند. حملات تک‌کلیکی برای مهاجمان کم‌کاربردتر شده‌اند، چون مرورگرهای مدرن دیگر کوکی‌های بین سایتی ارسال نمی‌کنند. برای دور زدن این محدودیت، هکرها دعوا‌ی کلیک‌جکینگ را با تغییری تازه به‌روز کرده‌اند: معارفه کلیک دوم.

ادامه مطلب
دریافت خدمات کامل همراه اول با برنامه همراه من و مدیریت کردن ربط هوشمند با ایتا و بله_سیاه پوش

ییبلو در یک پست وبلاگی اظهار داشت که اگرچه امکان پذیر این تحول کوچک به نظر برسد، اما دری را به روی حملات تازه دستکاری رابط کاربری باز می‌کند که از همه محافظت‌های شناخته شده‌ی کلیک‌جکینگ عبور می‌کند. برای کاربران، سایت فیشینگ به گفتن یک اعلان معمولی «کپچا» ظاهر می‌بشود و از کاربر می‌خواهد با دوبار کلیک روی یک دکمه، قبول کند که انسان است. در بعدِ آن، هکرها قابلیتی را اضافه می‌کنند که یک صفحه‌ی حساس، همانند تأییدیه‌ی مجوز OAuth، را در بعد‌عرصه بارگذاری می‌کند. هنگامی که کاربر دوبار کلیک می‌کند، اولین کلیک پنجره‌ی بالایی را می‌بندد و صفحه‌ی حساس را آشکار می‌کند. سپس کلیک دوم ماوس روی صفحه‌ی حساس قرار می‌گیرد و مجوز را قبول می‌کند، اجازه دسترسی می‌دهد یا هر عمل فرد دیگر را کامل می‌کند.

شدت کلیک بر این دعوا تأثیری ندارد، چون هکرها از کنترل‌کننده‌های اتفاقات mousedown منفعت گیری می‌کنند. این محقق فرمود که سایت مخرب می‌تواند به شدت یک پنجره‌ی حساس‌تر را از همان جلسه‌ی مرورگر (به گفتن مثال، یک خواست مجوز OAuth) جانشین کند و به طور مؤثر کلیک دوم را برباید. او اضافه کرد راه حلهای بسیاری برای انجام این جابجایی وجود دارد و یقین‌ترین و روان‌ترین روشی که او اشکار کرده منفعت گیری از window.open.location است.

ادامه مطلب
آیا نینتندو می‌تواند برتری خود را در نسل سپس نگه داری کند؟_سیاه پوش
آخرین مطالب

این تکنیک تازه این چنین می‌تواند برای دعوا به افزونه‌های مرورگر منفعت گیری بشود. این محقق این چنین یک کد اثبات مفهوم و مثالهایی را به اشتراک گذاشت که مهاجمان می‌توانند از آنها برای به دست گرفتن حساب‌های اسلک، شاپیفای و سیلزفورس منفعت گیری کنند.

وب‌سایت‌ها می‌توانند با غیرفعال کردن پیش‌فکر دکمه‌های حیاتی، مقدار قرار گرفتن در معرض خطر را محدود کنند، مگر این که یک حرکت اغاز شده توسط کاربر قبلی، همانند حرکت ماوس یا منفعت گیری از صفحه کلید، قبل از فعال شدن این دکمه‌ها شناسایی بشود. راه‌حل‌های طویل مدت نیازمند به‌روزرسانی مرورگرها و استانداردهای تازه برای دفاع در برابر سوءاستفاده از دوبار کلیک خواهد می بود. ییبلو نظر می‌کند که هر صفحه‌ای که قبول دامنه‌ی OAuth، قبول پرداخت یا دیگر عمل های با امتیاز بالا را انجام می‌دهد، باید تا وقتی که مرورگرها راه‌حل‌هایی اراعه دهند، اسکریپت دفاعی را شامل بشود. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید.

ادامه مطلب
دوربین جدیدی که می‌تواند در سریع‌ترین زمان ممکن به ثبت عکس بپردازد_سیاه پوش

دسته بندی مطالب

مقالات کسب وکار

مقالات فناوری

مقالات آموزشی

مقالات سلامتی