보안 연구원인 Paulos Yibelo는 DoubleClickjacking이라는 새로운 사이버 위협을 공개했습니다. 이는 주요 웹사이트의 취약점을 노출하고 기존 클릭재킹 보호 기능을 효과적으로 우회합니다.

새로운 사이버 위협 DoubleClickjacking으로 인해 주요 웹사이트 취약점 노출

DoubleClickjacking은 단일 클릭이 아닌 더블 클릭 시퀀스를 활용하는 타이밍 기반 취약성 클래스입니다. Yibelo는 이러한 사소한 변화가 X-Frame-Options 헤더 및 SameSite 쿠키를 포함하여 알려진 모든 클릭재킹 방어를 우회할 수 있는 새로운 UI 조작 공격을 가능하게 한다고 설명했습니다.

UI 교정이라고도 알려진 클릭재킹은 사용자를 속여 겉으로는 무해해 보이는 웹 페이지 요소를 클릭하도록 하며, 이로 인해 악성 코드가 배포되거나 민감한 데이터가 유출될 수 있습니다. DoubleClickjacking 기술은 첫 번째 클릭과 두 번째 클릭 사이의 타이밍 차이를 이용하여 최소한의 사용자 상호 작용으로 공격을 실행합니다.

You Might Also Like
MB2 Bannerlord에서 가신이 되는 방법은 무엇입니까?
MB2 Bannerlord에서 가신이 되는 방법은 무엇입니까?
Google 문서도구는 이전 Microsoft Word 기능을 추가합니다.
Google 문서도구는 이전 Microsoft Word 기능을 추가합니다.
클릭 한 번으로 ChatGPT의 답변을 세부적으로 조정할 수 있습니다
클릭 한 번으로 ChatGPT의 답변을 세부적으로 조정할 수 있습니다

DoubleClickjacking에는 여러 단계가 포함됩니다. 공격자는 CAPTCHA 확인처럼 보일 수 있는 버튼을 두 번 클릭하라는 메시지를 표시하는 순진해 보이는 웹 사이트를 만듭니다. 사용자가 두 번 클릭을 시작하면 공격자는 JavaScript 창 위치 개체를 사용하여 OAuth 인증 대화 상자와 같은 악성 페이지로 은밀하게 리디렉션됩니다. 상단 창이 닫히면 사용자는 권한 확인 대화 상자를 승인하여 자신도 모르게 액세스 권한을 부여하게 됩니다.

  HTC Wildfire E3: 보급형 Helio P22, 쿼드 카메라 및 저렴한 비용
DoubleClickjacking이 주요 플랫폼에서 계정 탈취로 이어질 수 있는 방법
이미지: 파울로스 이벨로

Yibelo는 대부분의 웹 애플리케이션과 프레임워크가 단일 강제 클릭과 관련된 위험을 완화하도록 설계되어 있어 이 새로운 변종에 대해 현재의 클릭재킹 방어가 부적절하다고 지적했습니다. 공격은 기존 보안 프로토콜이 효과적으로 처리할 수 없는 방식으로 타이밍과 이벤트 순서를 활용합니다.

DoubleClickjacking과 관련된 취약점은 계정 승인을 위해 OAuth를 활용하는 플랫폼에 심각한 위험을 초래합니다. 영향을 받는 웹사이트는 계정 탈취, 악성 애플리케이션의 무단 승인, 중요한 계정 설정 변경, 금융 거래 개시 등의 피해를 입을 위험이 있습니다. Salesforce, Slack, Shopify를 포함한 주요 웹사이트가 취약한 것으로 확인되었습니다.

이 공격은 암호화폐 지갑 및 VPN과 같은 브라우저 확장에도 영향을 미치므로 공격자가 사용자의 동의 없이 필수 보안 기능을 비활성화하거나 거래를 승인할 수 있습니다.

DoubleClickjacking은 X-Frame-Options 헤더, 콘텐츠 보안 정책(CSP) 및 SameSite 쿠키와 같은 기존 보호를 회피할 수 있습니다. 이 취약점은 사용자 상호 작용의 빠른 타이밍을 이용하여 더블 클릭만으로 사용자를 악용할 수 있습니다.

보안 연구원은 웹사이트와 개발자가 이 취약점을 효과적으로 해결하려면 새로운 보호 조치를 시급히 구현해야 한다는 경고 메시지를 전달했습니다.

  팔월드 지붕이 깨지지 않나요? 문제를 해결하는 방법은 다음과 같습니다.

DoubleClickjacking 취약점을 해결하기 위해 보안 전문가는 몇 가지 완화 전략을 권장합니다. 개발자가 JavaScript 솔루션을 활용하여 실제 사용자 상호 작용이 감지될 때까지 기본적으로 중요한 버튼을 비활성화하는 클라이언트 측 접근 방식을 채택할 수 있습니다. 예를 들어, 스크립트는 마우스 움직임이나 키 누르기가 식별될 때까지 양식 버튼을 비활성화할 수 있습니다.

장기적인 솔루션에는 더블 클릭 시퀀스 중 빠른 컨텍스트 전환을 방지하기 위해 X-Frame-Options와 유사한 새로운 표준을 도입하는 브라우저 공급업체가 포함됩니다. 권장 조치에는 Double-Click-Protection HTTP 헤더 생성 및 다중 클릭 시나리오를 고려하여 CSP 지시문 적용이 포함될 수 있습니다.

또한 개발자는 민감한 페이지에 보호 스크립트를 추가하고 내장된 창이나 오프너 기반 탐색에 대해 더 엄격한 제어를 적용하여 이 새로운 공격 방법에 대한 방어를 강화해야 합니다.

주요 이미지 출처: Kerem Gülen/Midjourney

DoubleClickjacking이 주요 플랫폼에서 계정 탈취로 이어질 수 있는 방법에 대한 게시물이 TechBriefly에 처음 게재되었습니다.

Source: DoubleClickjacking이 주요 플랫폼에서 계정 탈취로 이어질 수 있는 방법

  새로운 FIFA 23 화학 시스템 설명