Експерт з кібербезпеки Паулос Йібело виявив критичну вразливість у механізмах захисту веб-додатків, яка отримала назву DoubleClickjacking. Ця інноваційна техніка кібератак дозволяє зловмисникам обходити стандартні методи захисту від класичного кліджекінгу, використовуючи особливості обробки подвійних кліків користувачів.
Технічні особливості DoubleClickjacking
На відміну від традиційного кліджекінгу, який базується на маніпуляціях з прихованими iframe-елементами, нова техніка використовує складніший механізм роботи з вікнами браузера. Зловмисники створюють веб-сторінку з привабливою кнопкою, натискання на яку активує спливаюче вікно з CAPTCHA. При спробі користувача розв’язати CAPTCHA подвійним кліком, перше натискання обробляється JavaScript-кодом для миттєвого закриття вікна, а другий клік потрапляє на приховані елементи керування на основній сторінці.
Масштаб загрози та вразливі системи
Дослідження демонструє, що DoubleClickjacking становить серйозну загрозу для широкого спектру веб-сервісів. Серед потенційних векторів атаки виявлено:
- Несанкціоноване надання доступу через OAuth
- Обхід двофакторної автентифікації
- Впровадження шкідливих розширень браузера
- Компрометація криптовалютних гаманців
- Підробка Web3-транзакцій
Підтверджені випадки успішних атак
Експериментальні атаки успішно продемонстровані на популярних платформах, включаючи Shopify, Slack та Salesforce. Особливу небезпеку становить можливість компрометації браузерних розширень, зокрема криптогаманців та VPN-клієнтів. Вразливість підтверджена як на десктопних, так і на мобільних пристроях.
Рекомендовані заходи захисту
Для протидії DoubleClickjacking фахівці з кібербезпеки рекомендують впровадження комплексних захисних механізмів. Ключові заходи включають розробку JavaScript-коду для тимчасового блокування критичних елементів управління до завершення користувацького жесту та імплементацію спеціального HTTP-заголовка для контролю швидкого перемикання між вікнами під час подвійного кліку.
З огляду на серйозність виявленої загрози, розробникам веб-додатків наполегливо рекомендується терміново впровадити запропоновані захисні механізми. Користувачам важливо проявляти підвищену пильність при взаємодії з веб-сайтами, особливо під час виконання операцій, пов’язаних з безпекою облікових записів та фінансовими транзакціями.
