安全專家揭示了一種新型的“普遍存在的基于時間的漏洞”，該漏洞通過利用雙擊操作來推動點擊劫持攻擊及賬戶接管，幾乎波及所有大型網(wǎng)站。這一技術(shù)已被安全研究員Paulos Yibelo命名為“DoubleClickjacking”。

Yibelo指出：“它并非依賴單一點擊，而是利用雙擊的序列。這看似微小的變化，卻為新的UI操控攻擊敞開了大門，能夠繞過所有現(xiàn)有的點擊劫持防護(hù)措施，包括X-Frame-Options頭部或SameSite: Lax/Strict cookie。”

點擊劫持，亦稱作UI重定向，是一種攻擊手段，誘使用戶點擊看似無害的網(wǎng)頁元素（如按鈕），進(jìn)而導(dǎo)致惡意軟件的安裝或敏感信息的泄露。DoubleClickjacking作為這一領(lǐng)域的變種，它利用點擊開始與第二次點擊結(jié)束之間的時間差來規(guī)避安全控制，以最小的用戶交互實現(xiàn)賬戶接管。

具體步驟如下：

• 用戶訪問一個由攻擊者控制的網(wǎng)站，該網(wǎng)站要么在無需任何用戶操作的情況下自動打開一個新的瀏覽器窗口(或標(biāo)簽頁)，要么在點擊按鈕時打開。
• 新窗口可能模仿一些無害的內(nèi)容，例如CAPTCHA驗證，提示用戶雙擊以完成操作。
• 在雙擊過程中，原始網(wǎng)站利用JavaScript Window Location對象悄悄重定向至惡意頁面(如，批準(zhǔn)惡意的OAuth應(yīng)用程序)。
• 同時，頂層窗口被關(guān)閉，使用戶在毫不知情的情況下通過批準(zhǔn)權(quán)限確認(rèn)對話框授予訪問權(quán)限。

Yibelo表示：“大多數(shù)Web應(yīng)用程序和框架都認(rèn)為只有單次強制點擊存在風(fēng)險。DoubleClickjacking引入了一層許多防御措施從未考慮過的內(nèi)容。像X-Frame-Options、SameSite cookie或CSP這樣的方法無法抵御這種攻擊?！?/p>

網(wǎng)站所有者可通過客戶端手段消除這類漏洞，默認(rèn)禁用關(guān)鍵按鈕，僅在檢測到鼠標(biāo)手勢或按鍵時激活。研究發(fā)現(xiàn)，諸如Dropbox等服務(wù)已經(jīng)實施了此類預(yù)防措施。作為長遠(yuǎn)解決方案，建議瀏覽器供應(yīng)商采納類似X-Frame-Options的新標(biāo)準(zhǔn)來防御雙擊利用。

Yibelo強調(diào)：“DoubleClickjacking是一種眾所周知的攻擊類別的變種。通過利用點擊之間的事件時間差，攻擊者能夠在瞬間無縫地將良性UI元素替換為敏感元素?！?/p>

此次披露距離研究人員展示另一種點擊劫持變體（即跨窗口偽造，亦稱作手勢劫持）已近一年，該變體依賴于說服受害者在攻擊者控制的網(wǎng)站上按下或按住Enter鍵或空格鍵以啟動惡意操作。

在Coinbase和Yahoo!等網(wǎng)站上，如果已登錄任一網(wǎng)站的受害者訪問攻擊者網(wǎng)站并按住Enter/空格鍵，則可能被利用來實現(xiàn)賬戶接管。

“這是因為這兩個網(wǎng)站都允許潛在攻擊者創(chuàng)建具有廣泛權(quán)限范圍的OAuth應(yīng)用程序以訪問其API，并且它們都為用于授權(quán)應(yīng)用程序進(jìn)入受害者賬戶的‘允許/授權(quán)’按鈕設(shè)置了靜態(tài)和/或可預(yù)測的‘ID’值?！?/p>

參考來源：https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html