安全專家揭示了一種新型的“普遍存在的基于時(shí)間的漏洞”，該漏洞通過利用雙擊操作來推動(dòng)點(diǎn)擊劫持攻擊及賬戶接管，幾乎波及所有大型網(wǎng)站。這一技術(shù)已被安全研究員Paulos Yibelo命名為“DoubleClickjacking”。

Yibelo指出：“它并非依賴單一點(diǎn)擊，而是利用雙擊的序列。這看似微小的變化，卻為新的UI操控攻擊敞開了大門，能夠繞過所有現(xiàn)有的點(diǎn)擊劫持防護(hù)措施，包括X-Frame-Options頭部或SameSite: Lax/Strict cookie?！?/p>

點(diǎn)擊劫持，亦稱作UI重定向，是一種攻擊手段，誘使用戶點(diǎn)擊看似無(wú)害的網(wǎng)頁(yè)元素（如按鈕），進(jìn)而導(dǎo)致惡意軟件的安裝或敏感信息的泄露。DoubleClickjacking作為這一領(lǐng)域的變種，它利用點(diǎn)擊開始與第二次點(diǎn)擊結(jié)束之間的時(shí)間差來規(guī)避安全控制，以最小的用戶交互實(shí)現(xiàn)賬戶接管。

具體步驟如下：

• 用戶訪問一個(gè)由攻擊者控制的網(wǎng)站，該網(wǎng)站要么在無(wú)需任何用戶操作的情況下自動(dòng)打開一個(gè)新的瀏覽器窗口(或標(biāo)簽頁(yè))，要么在點(diǎn)擊按鈕時(shí)打開。
• 新窗口可能模仿一些無(wú)害的內(nèi)容，例如CAPTCHA驗(yàn)證，提示用戶雙擊以完成操作。
• 在雙擊過程中，原始網(wǎng)站利用JavaScript Window Location對(duì)象悄悄重定向至惡意頁(yè)面(如，批準(zhǔn)惡意的OAuth應(yīng)用程序)。
• 同時(shí)，頂層窗口被關(guān)閉，使用戶在毫不知情的情況下通過批準(zhǔn)權(quán)限確認(rèn)對(duì)話框授予訪問權(quán)限。

Yibelo表示：“大多數(shù)Web應(yīng)用程序和框架都認(rèn)為只有單次強(qiáng)制點(diǎn)擊存在風(fēng)險(xiǎn)。DoubleClickjacking引入了一層許多防御措施從未考慮過的內(nèi)容。像X-Frame-Options、SameSite cookie或CSP這樣的方法無(wú)法抵御這種攻擊?！?/p>

網(wǎng)站所有者可通過客戶端手段消除這類漏洞，默認(rèn)禁用關(guān)鍵按鈕，僅在檢測(cè)到鼠標(biāo)手勢(shì)或按鍵時(shí)激活。研究發(fā)現(xiàn)，諸如Dropbox等服務(wù)已經(jīng)實(shí)施了此類預(yù)防措施。作為長(zhǎng)遠(yuǎn)解決方案，建議瀏覽器供應(yīng)商采納類似X-Frame-Options的新標(biāo)準(zhǔn)來防御雙擊利用。

Yibelo強(qiáng)調(diào)：“DoubleClickjacking是一種眾所周知的攻擊類別的變種。通過利用點(diǎn)擊之間的事件時(shí)間差，攻擊者能夠在瞬間無(wú)縫地將良性UI元素替換為敏感元素。”

此次披露距離研究人員展示另一種點(diǎn)擊劫持變體（即跨窗口偽造，亦稱作手勢(shì)劫持）已近一年，該變體依賴于說服受害者在攻擊者控制的網(wǎng)站上按下或按住Enter鍵或空格鍵以啟動(dòng)惡意操作。

在Coinbase和Yahoo!等網(wǎng)站上，如果已登錄任一網(wǎng)站的受害者訪問攻擊者網(wǎng)站并按住Enter/空格鍵，則可能被利用來實(shí)現(xiàn)賬戶接管。

“這是因?yàn)檫@兩個(gè)網(wǎng)站都允許潛在攻擊者創(chuàng)建具有廣泛權(quán)限范圍的OAuth應(yīng)用程序以訪問其API，并且它們都為用于授權(quán)應(yīng)用程序進(jìn)入受害者賬戶的‘允許/授權(quán)’按鈕設(shè)置了靜態(tài)和/或可預(yù)測(cè)的‘ID’值?！?/p>

參考來源：https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html