Beim sogenannten Clickjacking handelt es sich um einen bösartigen Angriff auf legitime Webseiten, bei denen die Kriminellen die Darstellung der Webseite mit einem eigenen, für den Nutzer oft nicht sichtbaren User-Interface (UI) überlagern. So führt ein vermeintlich harmloser Klick nicht wie beabsichtigt zur nächsten Unterseite, sondern sorgt dafür, dass beispielsweise Schadcode ausgeführt wird. Auch die Eingabe von Nutzerdaten kann so abgefangen werden. Diese Vorgehensweise ist bereits seit mehreren Jahren bekannt und die Entwickler von Webbrowsern haben Maßnahmen ergriffen, die derartige Angriffe verhindern sollen.
Doch nun hat der Sicherheitsexperte Paulos Yibelo eine neue Art des Clickjacking namens DoubleClickjacking entdeckt, die das Timing von Doppelklicks ausnutzt und so die Nutzer austrickst. Dabei erstellt der Angreifer eine Webseite mit einer scheinbar harmlosen Schaltfläche, etwa „Hier klicken, um Ihre Belohnung zu sehen“ oder „Hier klicken, um den Film zu sehen“. Lässt sich der Besucher der Webseite darauf ein, wird ein neues Fenster erstellt, das die ursprünglich besuchte Webseite überlagert und einen weiteren Köder enthält, z. B. das Lösen eines Captcha, um fortzufahren. Das Captcha auf dem neuen, überlagerten Fenster fordert den Besucher nun auf, auf eine Schaltfläche auf der Seite doppelt zu klicken, um das Captcha zu lösen. Diese Seite wartet jedoch bereits auf das Mousedown-Ereignis und schließt, wenn es erkannt wird, schnell das Captcha-Overlay, so dass der zweite Klick auf der nun angezeigten Autorisierungsschaltfläche oder dem Link auf der zuvor verborgenen legitimen Seite landet. Dies führt dazu, dass der Benutzer fälschlicherweise auf die angezeigte Schaltfläche klickt und möglicherweise die Installation eines Plug-ins, die Verbindung einer OAuth-Anwendung mit seinem Konto oder die Bestätigung einer Aufforderung zur Multi-Faktor-Authentifizierung zulässt.
Das Gefährliche an dieser neuen Methode ist, dass sie alle derzeit üblichen Sicherheitsmaßnahmen gegen Clickjacking umgeht, da sie im Gegensatz zu den bisher beobachteten Kampagnen weder auf iframes setzt, um die legitime Webseite zu überlagern, noch versucht, Cookies auf eine andere Domain zu übertragen. Stattdessen finden alle Aktionen auf legitimen Webseiten statt, wodurch der Schutz ausgehebelt wird.
Laut Yibelo lässt sich DoubleClickjacking auf so gut wie jeder Webseite anwenden, was der Sicherheitsforscher eindrucksvoll demonstriert, indem er Accounts auf populären Webseiten wie Shopify, Slack und Salesforce auf diese Art übernimmt. Darüber hinaus warnt er davor, dass diese Art des Angriffs nicht nur auf Webseiten eingesetzt werden könnte, sondern auch zur Verbreitung von Browser-Extensions. Sogar Nutzer von mobilen Geräten könnten betroffen sein.
Um sich gegen diese Art von Angriffen zu schützen, hat Yibelo ein JavaScript zur Verfügung gestellt, das zu Webseiten hinzugefügt werden kann, um Schaltflächen vorrübergehend zu deaktivieren, bis eine Mausbewegung ausgeführt wird. Dadurch wird verhindert, dass der Doppelklick beim Entfernen des Overlays des Angreifers automatisch auf die Berechtigungsschaltfläche klickt. Der Forscher schlägt auch einen potenziellen HTTP-Header vor, der den schnellen Wechsel zwischen Fenstern während einer Doppelklicksequenz einschränkt oder blockiert.
Doch nun hat der Sicherheitsexperte Paulos Yibelo eine neue Art des Clickjacking namens DoubleClickjacking entdeckt, die das Timing von Doppelklicks ausnutzt und so die Nutzer austrickst. Dabei erstellt der Angreifer eine Webseite mit einer scheinbar harmlosen Schaltfläche, etwa „Hier klicken, um Ihre Belohnung zu sehen“ oder „Hier klicken, um den Film zu sehen“. Lässt sich der Besucher der Webseite darauf ein, wird ein neues Fenster erstellt, das die ursprünglich besuchte Webseite überlagert und einen weiteren Köder enthält, z. B. das Lösen eines Captcha, um fortzufahren. Das Captcha auf dem neuen, überlagerten Fenster fordert den Besucher nun auf, auf eine Schaltfläche auf der Seite doppelt zu klicken, um das Captcha zu lösen. Diese Seite wartet jedoch bereits auf das Mousedown-Ereignis und schließt, wenn es erkannt wird, schnell das Captcha-Overlay, so dass der zweite Klick auf der nun angezeigten Autorisierungsschaltfläche oder dem Link auf der zuvor verborgenen legitimen Seite landet. Dies führt dazu, dass der Benutzer fälschlicherweise auf die angezeigte Schaltfläche klickt und möglicherweise die Installation eines Plug-ins, die Verbindung einer OAuth-Anwendung mit seinem Konto oder die Bestätigung einer Aufforderung zur Multi-Faktor-Authentifizierung zulässt.
Das Gefährliche an dieser neuen Methode ist, dass sie alle derzeit üblichen Sicherheitsmaßnahmen gegen Clickjacking umgeht, da sie im Gegensatz zu den bisher beobachteten Kampagnen weder auf iframes setzt, um die legitime Webseite zu überlagern, noch versucht, Cookies auf eine andere Domain zu übertragen. Stattdessen finden alle Aktionen auf legitimen Webseiten statt, wodurch der Schutz ausgehebelt wird.
Laut Yibelo lässt sich DoubleClickjacking auf so gut wie jeder Webseite anwenden, was der Sicherheitsforscher eindrucksvoll demonstriert, indem er Accounts auf populären Webseiten wie Shopify, Slack und Salesforce auf diese Art übernimmt. Darüber hinaus warnt er davor, dass diese Art des Angriffs nicht nur auf Webseiten eingesetzt werden könnte, sondern auch zur Verbreitung von Browser-Extensions. Sogar Nutzer von mobilen Geräten könnten betroffen sein.
Um sich gegen diese Art von Angriffen zu schützen, hat Yibelo ein JavaScript zur Verfügung gestellt, das zu Webseiten hinzugefügt werden kann, um Schaltflächen vorrübergehend zu deaktivieren, bis eine Mausbewegung ausgeführt wird. Dadurch wird verhindert, dass der Doppelklick beim Entfernen des Overlays des Angreifers automatisch auf die Berechtigungsschaltfläche klickt. Der Forscher schlägt auch einen potenziellen HTTP-Header vor, der den schnellen Wechsel zwischen Fenstern während einer Doppelklicksequenz einschränkt oder blockiert.
