专家对主流浏览器的双击网络攻击发出警报
网络安全专家 Paulos Yibelo 表示,出现了一种新的、“极其猖獗”的网络威胁,它利用鼠标双击计时绕过网络浏览器的保护措施,并诱骗用户授权执行意外操作,例如共享敏感数据或批准恶意应用程序访问。
这种新威胁被称为“双击劫持”,通过在双击操作过程中无缝切换网页上下文,操纵浏览器用户在不知情的情况下与敏感元素(如登录授权或帐户权限)进行交互,Yibelo 在最近的博客文章中详细介绍了这一漏洞。
双击劫持攻击通常始于恶意网页,该网页会显示无害提示,例如 CAPTCHA 或验证请求,要求用户双击才能继续。当用户第一次点击时,攻击会触发打开一个新的浏览器窗口,同时操纵原始窗口的内容。在用户第一次和第二次点击之间的一瞬间,原始内容被替换为敏感元素,例如权限请求或帐户授权对话框。第二次点击会与替换的内容进行交互,授权用户从未打算批准的操作。
双重点击劫持是点击劫持的一种新变体,这种攻击已经存在多年。点击劫持攻击使恶意网站能够诱骗用户点击他们从未打算与之交互的隐藏按钮,从而引发未经授权的交易、数据泄露或用户帐户被控制的风险。
最初的点击劫持攻击已变得不再可行,因为现代浏览器引入了保护措施,以防止恶意网站将敏感内容嵌入隐藏框架或执行未经授权的操作。然而,双击劫持通过利用用户交互的顺序和时间(特别是在双击操作期间)来绕过这些防御措施,使其成为一种更复杂、更危险的威胁。
Yibelo 指出:“虽然这听起来可能只是个小变化,但它却为新的 UI 操纵攻击打开了大门,这些攻击可以绕过所有已知的点击劫持保护措施,包括 X-Frame-Options 标头或 SameSite: Lax/Strict cookie。这种技术似乎影响了几乎所有网站,导致许多主要平台的帐户被接管。”
Yibelo 表示,双重点击劫持出于多种原因而十分危险。它不仅可以绕过传统的点击劫持保护措施,还可以攻击浏览器扩展程序,而不仅仅是网站本身。Yibelo 表示,概念验证攻击已经证明了它如何利用流行的基于浏览器的加密钱包来授权未经授权的 web3 交易。它还可用于禁用 VPN 扩展程序,从而可能暴露用户的 IP 地址。
此外,Yibelo 表示,双击劫持“极其猖獗”,他表示,他测试过的所有网站都默认存在这种漏洞。它还需要最少的用户交互,只需要用户双击,而不需要填写表格或执行多个步骤。
Yibelo 表示,防范双击劫持攻击的长期解决方案需要浏览器更新和新标准。与此同时,他建议开发人员在其网站上使用相对简单的 JavaScript 方法,通过默认禁用关键按钮(除非检测到移动鼠标或使用键盘等手势)来消除双击劫持的风险。
他还敦促用户警惕需要双击的提示,尤其是在陌生的网站上。保持浏览器和扩展程序更新可确保安装最新的安全补丁,从而帮助减少漏洞。此外,使用反恶意软件和安全工具可以帮助实时检测和阻止可疑行为。
