DoubleClickjacking: Como um Novo Ataque Cibernético Mira nas Interações dos Usuários

A especialista em cibersegurança Pablos Yibelo anunciou hoje o DoubleClickjacking, um ataque na web que aproveita o tempo de duplo clique para enganar os usuários a executar ações sensíveis em sites.

Pablos Yibelo explica que a técnica DoubleClickjacking expande a bem conhecida técnica de “clickjacking“. Este ataque manipula as interações da interface do usuário para contornar proteções como os cabeçalhos X-Frame-Options e os cookies SameSite, podendo afetar uma ampla gama de sites.

Yibelo explica que o DoubleClickjacking funciona explorando o tempo entre dois cliques em uma sequência de duplo clique. O ataque geralmente começa com um usuário interagindo com uma página da web que abre uma nova janela ou exibe um prompt.

O primeiro clique fecha a janela recém-aberta, revelando uma página de ação sensível – como uma tela de autorização OAuth – na janela original do navegador. O segundo clique então autoriza inadvertidamente uma ação maliciosa ou concede acesso a aplicativos não autorizados.

Este método se aproveita do breve atraso entre os eventos “mousedown” e “click”, contornando as medidas de segurança tradicionais. Seu impacto é substancial, permitindo que os invasores realizem ações como obter acesso a contas, alterar configurações ou realizar transações não autorizadas, diz Yibelo.

Muitas plataformas que usam OAuth para autenticação são particularmente vulneráveis, pois os invasores podem explorar este método para obter extensas permissões nas contas dos usuários.

Os riscos vão além dos sites, com extensões de navegador e aplicações móveis também suscetíveis. Os exemplos incluem cenários onde carteiras de criptomoedas ou configurações de VPN podem ser manipuladas sem o conhecimento do usuário, conforme observado por Yibelo.

Aqui Yibelo dá um exemplo de uma tomada de conta do Slack:

A simplicidade do ataque – que requer apenas um duplo clique – torna difícil a sua detecção e prevenção. Para mitigar os riscos, Yibelo diz que os desenvolvedores podem implementar proteções baseadas em JavaScript que desativam botões críticos até que ações intencionais do usuário, como movimentos do mouse ou entrada de teclado, sejam detectadas.

Yibelo afirma que essa abordagem adiciona uma camada de verificação, garantindo que ações sensíveis não possam ocorrer sem o envolvimento deliberado do usuário. Com o tempo, os desenvolvedores de navegadores podem adotar soluções mais robustas, como a introdução de cabeçalhos HTTP especializados para prevenir a troca de contexto durante as interações de duplo clique.

DoubleClickjacking destaca os desafios em evolução na segurança da web. Ao explorar padrões menores de interação do usuário, ele ressalta a necessidade de atualizações contínuas nas práticas de segurança e proteções.