دعوا دابل-کلیکجکینگ؛ سرقت حسابهای کاربری با دو کلیک_سیاه پوش
نوشته و ویرایش شده توسط مجله سیاه پوش
فاصله وقتی بین دو کلیک ماوس برای هکرها کافی است تا صفحات وب را جابجا کرده و قربانیان را فریب دهند تا به طور اتفاقی مجوز دسترسی یا انتقال وجه را صادر کنند. «دابل-کلیکجکینگ» میتواند برای به دست آوردن مجوزهای OAuth و API برای اکثر وبسایتهای بزرگ، انجام تغییرات حساب کاربری با یک کلیک، همانند غیرفعال کردن تنظیمات امنیتی، حذف یک حساب کاربری، صدور مجوز دسترسی یا انتقال وجه یا قبول تراکنشها و غیره منفعت گیری بشود
به نقل از سرویس سایبری رسانه اخبار فناوری تکنا، پالوس ییبلو محقق امنیتی و شکارچی باگ، نوع جدیدی از حملات به کلمه «کلیکجکینگ» را آشکار کرده است. این حملات کاربران را فریب خواهند داد تا روی دکمههای نهان یا مبدل شدهای که هیچ زمان تصمیم کلیک کردن روی آنها را نداشتهاند، کلیک کنند. حملات تککلیکی برای مهاجمان کمکاربردتر شدهاند، چون مرورگرهای مدرن دیگر کوکیهای بین سایتی ارسال نمیکنند. برای دور زدن این محدودیت، هکرها دعوای کلیکجکینگ را با تغییری تازه بهروز کردهاند: معارفه کلیک دوم.
ییبلو در یک پست وبلاگی اظهار داشت که اگرچه امکان پذیر این تحول کوچک به نظر برسد، اما دری را به روی حملات تازه دستکاری رابط کاربری باز میکند که از همه محافظتهای شناخته شدهی کلیکجکینگ عبور میکند. برای کاربران، سایت فیشینگ به گفتن یک اعلان معمولی «کپچا» ظاهر میبشود و از کاربر میخواهد با دوبار کلیک روی یک دکمه، قبول کند که انسان است. در بعدِ آن، هکرها قابلیتی را اضافه میکنند که یک صفحهی حساس، همانند تأییدیهی مجوز OAuth، را در بعدعرصه بارگذاری میکند. هنگامی که کاربر دوبار کلیک میکند، اولین کلیک پنجرهی بالایی را میبندد و صفحهی حساس را آشکار میکند. سپس کلیک دوم ماوس روی صفحهی حساس قرار میگیرد و مجوز را قبول میکند، اجازه دسترسی میدهد یا هر عمل فرد دیگر را کامل میکند.
شدت کلیک بر این دعوا تأثیری ندارد، چون هکرها از کنترلکنندههای اتفاقات mousedown منفعت گیری میکنند. این محقق فرمود که سایت مخرب میتواند به شدت یک پنجرهی حساستر را از همان جلسهی مرورگر (به گفتن مثال، یک خواست مجوز OAuth) جانشین کند و به طور مؤثر کلیک دوم را برباید. او اضافه کرد راه حلهای بسیاری برای انجام این جابجایی وجود دارد و یقینترین و روانترین روشی که او اشکار کرده منفعت گیری از window.open.location است.
این تکنیک تازه این چنین میتواند برای دعوا به افزونههای مرورگر منفعت گیری بشود. این محقق این چنین یک کد اثبات مفهوم و مثالهایی را به اشتراک گذاشت که مهاجمان میتوانند از آنها برای به دست گرفتن حسابهای اسلک، شاپیفای و سیلزفورس منفعت گیری کنند.
وبسایتها میتوانند با غیرفعال کردن پیشفکر دکمههای حیاتی، مقدار قرار گرفتن در معرض خطر را محدود کنند، مگر این که یک حرکت اغاز شده توسط کاربر قبلی، همانند حرکت ماوس یا منفعت گیری از صفحه کلید، قبل از فعال شدن این دکمهها شناسایی بشود. راهحلهای طویل مدت نیازمند بهروزرسانی مرورگرها و استانداردهای تازه برای دفاع در برابر سوءاستفاده از دوبار کلیک خواهد می بود. ییبلو نظر میکند که هر صفحهای که قبول دامنهی OAuth، قبول پرداخت یا دیگر عمل های با امتیاز بالا را انجام میدهد، باید تا وقتی که مرورگرها راهحلهایی اراعه دهند، اسکریپت دفاعی را شامل بشود. برای دیدن دیگر خبرها به صفحه اخبار امنیت سایبری مراجعه نمایید.
دسته بندی مطالب