DoubleClickjacking: Yeni Bir Siber Saldırı Nasıl Kullanıcı Etkileşimlerini Hedef Alıyor

Siber güvenlik uzmanı Pablos Yibelo, bugün DoubleClickjacking adı verilen, çift tıklama zamanlamalarını kullanarak kullanıcıları web sitelerinde hassas eylemler gerçekleştirmeye yönlendiren bir web saldırısını duyurdu.

Pablos Yibelo, DoubleClickjacking tekniğinin yaygın olarak bilinen “clickjacking” tekniğini genişlettiğini açıklıyor. Bu saldırı, X-Frame-Options başlıkları ve SameSite çerezleri gibi korumaları atlatmak için kullanıcı arayüzü etkileşimlerini manipüle eder ve potansiyel olarak geniş bir web sitesi yelpazesini etkileyebilir.

Yibelo, DoubleClickjacking’in iki tıklama arasındaki zamanlamayı kullanarak nasıl çalıştığını açıklıyor. Saldırı genellikle, yeni bir pencere açan veya bir uyarı gösteren bir web sayfasıyla kullanıcının etkileşime girmesiyle başlar.

İlk tıklama yeni açılan pencereyi kapatır, bu da orijinal tarayıcı penceresinde hassas bir işlem sayfasını -örneğin bir OAuth yetkilendirme ekranını- ortaya çıkarır. İkinci tıklama daha sonra farkında olmadan kötü niyetli bir eylemi onaylar veya yetkisiz uygulamalara erişim sağlar.

Bu yöntem, “mousedown” ve “click” olayları arasındaki kısa gecikmeyi kullanarak, geleneksel güvenlik önlemlerini aşıyor. Etkisi oldukça önemli, saldırganların hesaplara erişim sağlama, ayarları değiştirme veya yetkisiz işlemler gerçekleştirme gibi eylemler yapmasını sağlıyor, diyor Yibelo.

Kimlik doğrulama için OAuth kullanan birçok platform özellikle savunmasız durumda, çünkü saldırganlar bu yöntemi kullanarak kullanıcı hesaplarında geniş izinler elde edebilirler.

Riskler sadece web siteleri ile sınırlı değil, tarayıcı eklentileri ve mobil uygulamalar da bundan etkilenebilir. Örnekler arasında kripto para cüzdanları veya VPN ayarlarının kullanıcının farkında olmadan manipüle edilebileceği durumlar bulunmaktadır, Yibelo’nun belirttiği gibi.

İşte Yibelo, bir Slack hesabının ele geçirilmesi örneğini veriyor:

Saldırının basitliği – sadece bir çift tıklama gerektirmesi – onu algılamayı ve önlemeyi zorlaştırır. Riskleri hafifletmek için, Yibelo, geliştiricilerin, fare hareketleri veya klavye girişi gibi kasıtlı kullanıcı eylemleri algılandığında kritik düğmeleri devre dışı bırakan JavaScript tabanlı korumaları uygulayabileceklerini söylüyor.

Yibelo, bu yaklaşımın bir doğrulama katmanı eklediğini, hassas işlemlerin bilinçli kullanıcı etkileşimi olmadan gerçekleşemeyeceğini belirtiyor. Zamanla, tarayıcı geliştiricileri daha sağlam çözümler benimseyebilir, örneğin çift tıklama etkileşimleri sırasında bağlam değişimini önlemek için özel HTTP başlıkları tanıtmak gibi.

DoubleClickjacking, web güvenliğindeki gelişen zorlukları vurguluyor. Küçük kullanıcı etkileşim desenlerini istismar ederek, güvenlik uygulamalarına ve korumalara sürekli güncellemelerin gerekliliğini altını çiziyor.