New "DoubleClickjacking" Exploit Bypasses Clickjacking Protections on Major Websites
- 더블클릭재킹 개요
- 더블클릭재킹은 시간 기반 취약점으로, 주요 웹사이트에서 더블 클릭 시퀀스를 악용하는 새로운 유형의 공격
- 기존 클릭재킹보다 발전된 방식으로, X-Frame-Options, SameSite 쿠키, 콘텐츠 보안 정책(CSP) 같은 방어 기술을 우회
- 계정 탈취 또는 민감한 작업 실행을 최소한의 사용자 상호작용으로 가능하게 함
- 공격 메커니즘
- 공격의 단계
- 사용자가 공격자가 제어하는 웹사이트에 접속, 새 브라우저 창 또는 탭이 자동으로 열림
- 새 창은 CAPTCHA 확인처럼 무해한 UI를 가장하고, 사용자가 더블 클릭하도록 유도
- 더블 클릭 도중 JavaScript Window Location 객체를 사용해 사용자를 악성 페이지로 리디렉션
- 동시에 상단 창을 닫아, 사용자가 권한 승인 등을 모르게 수행하도록 함
- 공격의 단계
- 보안 도전 과제
- 대부분의 보안 기술은 단일 클릭 위협에만 초점
- 더블클릭재킹은 기존 방어책을 무력화
- X-Frame-Options
- SameSite 쿠키(Lax/Strict)
- 콘텐츠 보안 정책(CSP)
- 클릭 간 타이밍 이벤트를 악용해 민감한 UI 요소를 교체
- 추천 방어책
- 클라이언트 측 대책
- 마우스 제스처나 키 입력이 감지되기 전까지 중요한 버튼을 비활성화
- 예: Dropbox는 이미 이런 예방책을 구현
- 브라우저 수준의 해결책
- 더블 클릭 취약점을 방어하는 새로운 표준을 X-Frame-Options와 유사하게 개발
- OAuth 애플리케이션 관리
- 민감한 작업의 "ID" 값을 예측 불가능하게 설정
- OAuth 애플리케이션 기본 권한 범위를 제한
- 클라이언트 측 대책
- 과거 유사 사례와 역사적 맥락
- 2024년, 보안 연구원 Paulos Yibelo는 교차 창 위조(gesture-jacking) 공격을 소개
- 사용자가 Enter 키나 스페이스바를 누르도록 속여 악성 작업 실행
- Coinbase와 Yahoo!에서 OAuth 승인을 이용한 계정 탈취 가능성 시연
- 2024년, 보안 연구원 Paulos Yibelo는 교차 창 위조(gesture-jacking) 공격을 소개
- 결론
- 더블클릭재킹은 클릭재킹 공격의 진화로, 클릭 간 타이밍 이벤트를 조작
- 이러한 위협은 클라이언트 및 브라우저 차원의 적응형 보안 기술 필요성을 강조
- UI 조작 취약점을 완화하기 위한 웹 보안 표준의 지속적 개선이 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 토르(TOR)를 통한 SSH 활용 새로운 스텔스 악성코드, 우크라이나 군 공격 (0) | 2025.01.13 |
|---|---|
| 폭스바겐 정보 노출 사건 분석 (0) | 2025.01.13 |
| 한예종 해킹 공격 및 개인정보 유출 사고 분석 (0) | 2025.01.13 |
| AI와 제로 트러스트의 연계: 애자일 비즈니스와 보안의 융합 (0) | 2025.01.05 |
| 효과적인 소프트웨어 개발 팀 보안 벤치마크 구현 방법 (0) | 2025.01.05 |