威胁猎手披露了一种新的 “广泛的基于定时的漏洞类别”,它利用双击序列来促进几乎所有主要网站的点击劫持攻击和账户接管。安全研究员 Paulos Yibelo 将这种技术命名为 DoubleClickjacking。Yibelo说:“它不依赖单次点击,而是利用双击序列。虽然这听起来可能只是一个很小的变化,但它却为新的用户界面操纵攻击打开了大门,这些攻击可以绕过所有已知的点击劫持保护,包括 X-Frame-Options 标头或 SameSite.Lax/Strict Cookie: Lax/Strict cookie。”点击劫持也称为用户界面重整,是指一种攻击技术,用户被诱骗点击一个看似无害的网页元素(如按钮),从而导致恶意软件的部署或敏感数据的外泄。双击劫持是这一主题的变种,它利用点击开始和第二次点击结束之间的间隙,绕过安全控制,以最少的交互方式接管账户。具体来说,它包括以下步骤:用户访问一个由攻击者控制的网站,该网站会在没有任何用户交互的情况下或通过点击按钮打开一个新的浏览器窗口(或标签页)。新窗口可以模仿验证码等无害的东西,提示用户双击以完成步骤。在双击过程中,父网站会利用 JavaScript 窗口位置对象偷偷重定向到恶意页面(例如,批准恶意 OAuth 应用程序)。与此同时,顶部窗口被关闭,使用户在不知情的情况下通过批准权限确认对话框授予访问权限。Yibelo说:“大多数网络应用和框架都认为,只有单次强制点击才会带来风险。双击劫持增加了一个层级,许多防御系统在设计时从未考虑到这一点。X-Frame-Options、SameSite cookies 或 CSP 等方法无法抵御这种攻击。”网站所有者可以使用客户端方法消除该类漏洞,即默认禁用关键按钮,除非检测到鼠标手势或按键。据发现,Dropbox 等服务已经采用了此类预防措施。作为长期解决方案,建议浏览器供应商采用类似于 X-Frame-Options 的新标准来防御双击劫持。Yibelo说:“双击劫持是对一种众所周知的攻击类别的扭曲。通过利用点击之间的事件时序,攻击者可以在眨眼之间无缝地将良性用户界面元素换成敏感元素。”该研究人员还展示了另一种名为跨窗口伪造(又名手势劫持)的点击劫持变种,它依靠说服受害者在攻击者控制的网站上按住回车键或空格键来启动恶意操作。在Coinbase和雅虎等网站上,“如果登录这两个网站的受害者进入攻击者网站并按住回车/空格键”,就可能被滥用来实现账户接管。“这是可能的,因为这两个网站都允许潜在攻击者创建一个范围广泛的 OAuth 应用程序来访问其 API,而且它们都为’允许/授权’按钮设置了一个静态和/或可预测的’ID’值,用于授权应用程序进入受害者的账户。”
