DoubleClickjacking という新しいサイバー脅威がセキュリティ研究者の Paulos Yibelo によって明らかにされ、主要 Web サイトの脆弱性が暴露され、既存のクリックジャッキング保護が効果的にバイパスされます。

新たなサイバー脅威 DoubleClickjacking により Web サイトの主要な脆弱性が明らかに

DoubleClickjacking は、シングル クリックではなくダブルクリック シーケンスを利用するタイミングベースの脆弱性クラスです。 Yibelo 氏は、この小さな変更により、X-Frame-Options ヘッダーや SameSite Cookie などの既知のクリックジャッキング防御をすべて回避できる新しい UI 操作攻撃が可能になると説明しました。

クリックジャッキングは UI 修復とも呼ばれ、ユーザーをだまして一見無害な Web ページ要素をクリックさせ、マルウェアの展開や機密データの流出につながる可能性があります。 DoubleClickjacking 手法は、最初のクリックと 2 回目のクリックの間のタイミングのギャップを利用して、最小限のユーザー操作で攻撃を実行します。

You Might Also Like
ChatGptは10代の若者に危険なアドバイスを与えます、CCDHは発見します
ChatGptは10代の若者に危険なアドバイスを与えます、CCDHは発見します
Asus Zenbook 17 Fold OLED が発表されました: 仕様、価格、およびリリース日
Asus Zenbook 17 Fold OLED が発表されました: 仕様、価格、およびリリース日
Macカメラが機能しない問題を解決するにはどうすればよいですか?
Macカメラが機能しない問題を解決するにはどうすればよいですか?

DoubleClickjacking にはいくつかの手順が含まれます。攻撃者は、ユーザーに CAPTCHA 検証のように見えるボタンのダブルクリックを促す、一見無害な Web サイトを作成します。ユーザーがダブルクリックを開始すると、攻撃者は JavaScript Window Location オブジェクトを使用して、OAuth 認証ダイアログなどの悪意のあるページに密かにリダイレクトします。上部のウィンドウが閉じると、ユーザーは許可の確認ダイアログを承認することで、無意識のうちにアクセスを許可します。

DoubleClickjacking が主要プラットフォームでアカウント乗っ取りにどのようにつながるか
画像: パウロス・イベロ

Yibelo 氏は、ほとんどの Web アプリケーションとフレームワークは 1 回の強制クリックに関連するリスクを軽減するように設計されており、現在のクリックジャッキング防御はこの新しい亜種に対して不十分であると指摘しました。この攻撃は、既存のセキュリティ プロトコルでは効果的に対処できない方法で、タイミングとイベント シーケンスを利用します。

DoubleClickjacking に関連する脆弱性は、アカウント認証に OAuth を利用するプラットフォームに重大なリスクをもたらします。影響を受ける Web サイトは、アカウントの乗っ取り、悪意のあるアプリケーションの不正承認、重要なアカウント設定の変更、金融取引の開始などの被害を受けるリスクがあります。 Salesforce、Slack、Shopify などの主要な Web サイトが脆弱であることが確認されています。

この攻撃は暗号通貨ウォレットや VPN などのブラウザ拡張機能にも影響を及ぼし、攻撃者がユーザーの同意なしに重要なセキュリティ機能を無効にしたり、トランザクションを承認したりする可能性があります。

DoubleClickjacking は、X-Frame-Options ヘッダー、コンテンツ セキュリティ ポリシー (CSP)、SameSite Cookie などの従来の保護を回避する可能性があります。この脆弱性はユーザー操作の素早いタイミングを利用しており、ダブルクリックするだけでユーザーを悪用できます。

このセキュリティ研究者は警告メッセージを発し、Web サイトと開発者はこの脆弱性に効果的に対処するために新しい保護措置を早急に導入する必要があると述べました。

DoubleClickjacking の脆弱性に対処するために、セキュリティ専門家はいくつかの緩和戦略を推奨しています。 JavaScript ソリューションを利用して、真のユーザー操作が検出されるまで開発者がデフォルトで重要なボタンを無効にするクライアント側のアプローチを採用できます。たとえば、スクリプトでは、マウスの移動またはキーの押下が識別されるまでフォーム ボタンを無効にすることができます。

長期的な解決策には、ダブルクリック シーケンス中の急速なコンテキスト切り替えを防ぐために、ブラウザ ベンダーが X-Frame-Options と同様の新しい標準を導入することが含まれます。推奨される対策には、Double-Click-Protection HTTP ヘッダーの作成や、マルチクリック シナリオに対応するための CSP ディレクティブの調整などが含まれる場合があります。

さらに、開発者は、この新しい攻撃方法に対する防御を強化するために、機密ページに保護スクリプトを追加し、埋め込みウィンドウまたはオープナーベースのナビゲーションに対してより厳格な制御を適用する必要があります。

注目の画像クレジット: Kerem Gülen/Midjourney

「DoubleClickjacking が主要なプラットフォームでアカウント乗っ取りにつながる可能性がある方法」という投稿は、最初に TechBriefly に掲載されました。

Source: DoubleClickjacking が主要プラットフォームでアカウント乗っ取りにどのようにつながるか

  PayPal&VenmoはAI詐欺アラートシステムを展開します