新的双击劫持漏洞绕过主要网站上的点击劫持保护

威胁猎人们披露了一种新的“广泛使用基于时间的漏洞类”技术，利用双击序列来进行点击劫持攻击和账户劫持，几乎针对所有主要的网站。

这种技术由安全研究员保罗斯·伊贝洛命名为双击劫持。

“它不再依赖于单一的点击，而是利用了双击序列的优势，”伊贝洛表示。“这听起来可能是一个微小的变化，但它为新的界面操纵攻击打开了大门，绕过了所有已知的点击劫持保护，包括X-Frame-Options头或SameSite：Lax/Strict cookie。”

点击劫持，又称为界面伪装，是一种利用用户被欺骗点击似乎无害的网页元素（例如按钮），从而导致恶意软件部署或敏感数据泄漏的攻击技术。

双击劫持是这一主题的一种变体，利用点击开始和第二次点击结束之间的间隙绕过安全控制，并通过最小的互动接管账户。

具体而言，它涉及以下步骤：

• 用户访问一个攻击者控制的站点，该站点在没有任何用户交互或点击按钮的情况下打开新的浏览器窗口（或标签页）。

• 新窗口可能模仿一些无害的东西，如CAPTCHA验证，提示用户执行双击以完成该步骤。

• 当双击进行时，父站点使用JavaScript的Window Location对象悄悄重定向到恶意页面（例如，批准恶意OAuth应用程序）。

• 同时，顶层窗口被关闭，允许用户在无意中通过批准权限确认对话框来授予访问权限。

“大多数Web应用程序和框架都认为只有单击是一种风险，”伊贝洛说。“双击劫持增加了许多防御措施从未设计来应对的层次。像X-Frame-Options，SameSite cookies，或CSP这样的方法无法抵御这种攻击。”

网站所有者可以通过客户端方法消除这种漏洞，该方法禁用默认情况下的关键按钮，除非检测到鼠标手势或按键。已发现像Dropbox这样的服务已经采用了这样的预防措施。

作为长期解决方案，建议浏览器供应商采用类似X-Frame-Options的新标准来防御双击利用。

“双击劫持是对一个众所周知的攻击类别的变种，"伊贝洛说。"通过利用点击之间的事件时间，攻击者可以在眨眼之间毫不费力地将良性UI元素替换为敏感的UI元素。”

该披露行动发生在研究人员展示了另一种点击劫持变种——窗口交叉伪造（也称为手势劫持）的近一年之后。这种攻击依赖于诱使受害者按下或长按Enter键或Space键，以启动恶意操作。

在Coinbase和Yahoo!等网站上，如果一个已登录到这些网站的受害者前往一个攻击者的网站并按住Enter/Space键，这种攻击可能被滥用以实现账户劫持。

“这是可能的，因为这两个网站允许潜在攻击者创建具有广泛访问API权限的OAuth应用程序，并且它们都为“允许/授权”按钮设置了静态和/或可预测的“ID”值，用于将应用程序授权到受害者的账户。”