DoubleClickjacking: Come un Nuovo Cyberattacco Mira alle Interazioni degli Utenti

L’esperta di cybersecurity Pablos Yibelo ha annunciato oggi DoubleClickjacking, un attacco web che sfrutta il timing del doppio clic per ingannare gli utenti e indurli a eseguire azioni sensibili sui siti web.

Pablos Yibelo spiega che la tecnica del DoubleClickjacking amplia la ben nota tecnica del “clickjacking“. Questo attacco manipola le interazioni dell’interfaccia utente per aggirare le protezioni come le intestazioni X-Frame-Options e i cookie SameSite, potenzialmente influenzando una vasta gamma di siti web.

Yibelo spiega che il DoubleClickjacking funziona sfruttando il tempo tra due clic in una sequenza di doppio clic. L’attacco inizia tipicamente con un utente che interagisce con una pagina web che apre una nuova finestra o mostra un prompt.

Il primo clic chiude la nuova finestra aperta, rivelando una pagina di azione sensibile, come una schermata di autorizzazione OAuth, nella finestra del browser originale. Il secondo clic autorizza poi involontariamente un’azione dannosa o concede l’accesso a applicazioni non autorizzate.

Questo metodo sfrutta il breve ritardo tra gli eventi “mousedown” e “click”, aggirando le tradizionali misure di sicurezza. Il suo impatto è notevole, permettendo agli aggressori di eseguire azioni come l’accesso agli account, la modifica delle impostazioni, o l’esecuzione di transazioni non autorizzate, afferma Yibelo.

Molte piattaforme che utilizzano OAuth per l’autenticazione sono particolarmente vulnerabili, poiché gli aggressori possono sfruttare questo metodo per ottenere ampie autorizzazioni sugli account degli utenti.

I rischi vanno oltre i siti web, con estensioni del browser e applicazioni mobili altrettanto suscettibili. Gli esempi includono scenari in cui portafogli di criptovalute o impostazioni VPN potrebbero essere manipolati senza che l’utente ne sia consapevole, come osservato da Yibelo.

Qui Yibelo fornisce un esempio di un assunzione del controllo di un account Slack:

La semplicità dell’attacco – che richiede solo un doppio clic – lo rende difficile da rilevare e prevenire. Per mitigare i rischi, Yibelo afferma che gli sviluppatori possono implementare protezioni basate su JavaScript che disabilitano i pulsanti critici fino a quando non vengono rilevate azioni intenzionali dell’utente, come movimenti del mouse o input da tastiera.

Yibelo afferma che questo approccio aggiunge un livello di verifica, garantendo che le azioni sensibili non possano verificarsi senza un coinvolgimento deliberato dell’utente. Col tempo, gli sviluppatori di browser potrebbero adottare soluzioni più robuste, come l’introduzione di intestazioni HTTP specializzate per prevenire il cambio di contesto durante le interazioni con doppio click.

DoubleClickjacking evidenzia le sfide in continua evoluzione nella sicurezza web. Sfruttando minimi schemi di interazione dell’utente, sottolinea la necessità di aggiornamenti continui alle pratiche e protezioni di sicurezza.