Um novo tipo de clickjacking, chamado "DoubleClickjacking," está a ser utilizado para explorar cliques duplos e enganar os utilizadores a autorizar operações indesejadas em sites legítimos.
Há muito que existem técnicas que tentam fazer com que os utilizadores / vítimas cliquem em locais indevidos, usando coisas como janelas invisíveis sobrepostas sobre elementos aparentemente inocentes. É algo que tem sido combatido pelos browsers com aplicação de restrições, mas que agora foi ultrapassado de forma engenhosa por esta nova técnica.
O DoubleClickjacking funciona ao incentivar o utilizador a fazer um duplo clique sobre um elemento normal, mas que logo após o primeiro clique fazem desaparecer essa janela de forma a que o segundo clique seja feito noutro elemento que o hacker pretenda que a vítima clique - como um botão de autorização de um login ou de uma transferência. Este ataque destaca-se pela sua capacidade de contornar os métodos de defesa convencionais, já que não depende de iframes ou cookies, tendo sido demonstrado a comprometer contas de Shopify, Slack e Salesforce, bem como manipular extensões de browser ou carteiras de criptomoedas.
Para piorar a situação, este método de DoubleClickjacking pode também ser adaptado para funcionar em dispositivos móveis usando o mesmo princípio mas com toques.
A recomendação é a de que os sites desactivem a activação de botões para acções "sensíveis" até que os utilizadores efectuem um gesto intencional de maior complexidade, e também de limitar as mudanças rápidas entre páginas durante sequências de cliques duplos, para inviabilizar este método DoubleClickjacking.
Sem comentários:
Enviar um comentário