Une nouvelle variante d’attaques de détournement de clics appelée « DoubleClickjacking » permet aux attaquants d’inciter les utilisateurs à autoriser des actions sensibles en utilisant des doubles clics tout en contournant les protections existantes contre ces types d’attaques.
Le détournement de clics, également connu sous le nom de redressement de l’interface utilisateur, se produit lorsque des acteurs de la menace créent des pages Web malveillantes qui incitent les visiteurs à cliquer sur des éléments de page Web cachés ou déguisés.
Les attaques fonctionnent en superposant une page Web légitime dans un iframe masqué sur une page Web créée par les attaquants. Cette page Web créée par un attaquant est conçue pour aligner ses boutons et liens avec les liens et boutons de l’iframe masqué.
Les attaquants utilisent ensuite leur page Web pour inciter un utilisateur à cliquer sur un lien ou un bouton, par exemple pour gagner une récompense ou afficher une jolie photo.
Cependant, lorsqu’ils cliquent sur la page, ils cliquent en fait sur des liens et des boutons sur l’iframe masqué( le site légitime), ce qui pourrait potentiellement effectuer des actions malveillantes, comme autoriser une application OAuth à se connecter à leur compte ou accepter une demande d’authentification multifacteur.
Au fil des ans, les développeurs de navigateurs Web ont introduit de nouvelles fonctionnalités qui empêchent la plupart de ces attaques, telles que l’interdiction d’envoyer des cookies sur plusieurs sites ou l’introduction de restrictions de sécurité (options X-Frame ou ancêtres frame) pour savoir si les sites peuvent être iframed.
Nouvelle attaque DoubleClickjacking
L’expert en cybersécurité Paulos Yibelo a introduit une nouvelle attaque Web appelée DoubleClickjacking qui exploite le timing des doubles clics de souris pour inciter les utilisateurs à effectuer des actions sensibles sur des sites Web.
Dans ce scénario d’attaque, un acteur menaçant créera un site Web qui affichera un bouton apparemment inoffensif avec un leurre, comme « cliquez ici » pour voir votre récompense ou regarder un film.
Lorsque le visiteur clique sur le bouton, une nouvelle fenêtre sera créée qui couvre la page d’origine et inclut un autre leurre, comme devoir résoudre un captcha pour continuer. En arrière-plan, JavaScript sur la page d’origine changera cette page en un site légitime que les attaquants veulent inciter un utilisateur à effectuer une action.
Le captcha sur la nouvelle fenêtre superposée invite le visiteur à double-cliquer sur quelque chose sur la page pour résoudre le captcha. Cependant, cette page écoute l’événement mousedown et, lorsqu’elle est détectée, ferme rapidement la superposition captcha, provoquant le deuxième clic sur le bouton d’autorisation ou le lien maintenant affiché sur la page légitime précédemment masquée.
Cela amène l’utilisateur à cliquer par erreur sur le bouton exposé, autorisant potentiellement l’installation d’un plugin, une application OAuth à se connecter à son compte ou une invite d’authentification multifacteur à être acquittée.
Ce qui rend cela si dangereux, c’est qu’il contourne toutes les défenses actuelles de détournement de clics car il n’utilise pas d’iframe, il n’essaie pas de transmettre des cookies à un autre domaine. Au lieu de cela, les actions se produisent directement sur des sites légitimes qui ne sont pas protégés.
Yibelo dit que cette attaque affecte presque tous les sites, partageant des vidéos de démonstration utilisant le Double Clic pour prendre le contrôle des comptes Shopify, Slack et Salesforce.
Le chercheur avertit également que l’attaque ne se limite pas aux pages Web, car elle peut également être utilisée pour les extensions de navigateur.
« Par exemple, j’ai fait des preuves de concepts pour les portefeuilles cryptographiques de navigateur supérieurs qui utilisent cette technique pour autoriser les transactions web3 et les DApps ou désactiver le VPN pour exposer l’IP, etc. », explique Yibelo.
« »Cela peut également être fait dans les téléphones portables en demandant à la cible de « Double Tapoter ». »
Pour se protéger contre ce type d’attaque, Yibello a partagé JavaScript, qui pourrait être ajouté aux pages Web pour désactiver les boutons sensibles jusqu’à ce qu’un geste soit effectué. Cela empêchera le double-clic de cliquer automatiquement sur le bouton d’autorisation lors de la suppression de la superposition de l’attaquant.
Le chercheur suggère également un en-tête HTTP potentiel qui limite ou bloque la commutation contextuelle rapide entre les fenêtres lors d’une séquence de double-clic.