クリックジャッキングの典型的な使用法は、Facebookを介したリンクの配布です
古典的なクリックジャックのシナリオでは、攻撃者は透明なiframeで「いいね」または「共有」ボタンを非表示にします。 このiframeは、ユーザーがクリックするページ要素の上にあり、iframeはマウスカーソルの後ろに移動することもできます。 アイテムをクリックすると、非表示の「いいね」または「共有」ボタンにリダイレクトされます。 このようなアクションはFacebookに限定されず、攻撃者はiframe内の別のサイトの要素を隠すことができればよいだけです。
以下は、接続の1つがクリックジャックを使用して傍受された場合にFacebookで表示される典型的なメッセージです。
友人が共有しているリンクをたどると、YouTubeビデオのあるサイトに移動します。 ただし、以下のスクリーンショットで強調表示した「いいね」ボタンは表示されません。
「いいね」ボタンは、ユーザーがビデオを見るために通常クリックする場所、つまりウィンドウの中央と左下隅にあります。 目に見えない透明なiframe内にあるため、被害者にはこれらのボタンは表示されません。 このビデオを起動すると、ユーザーは「いいね」ボタンをクリックして、Facebookでのサイトの人気を高めます。
クリックジャッキング技術の新しいバリエーション
Clickjacking Attacks Unresolvedで 、Lin-Shung HuangとCollin Jacksonは、より巧妙なクリックジャックのバリエーションを調べました。 たとえば、攻撃者がFacebookから情報を要求することにより、悪意のあるサイトのユーザーを識別する方法を示しました。
ユーザーの匿名化のデモビデオを録画しました。 ビデオには、被害者のカーソルの後ろに移動する「いいね」ボタンが表示されていますが、実際の攻撃ではボタンは見えません。 ユーザーがこのボタンをうっかりクリックすると、Facebookの攻撃者の友人になります(Facebookの用語が不正確である可能性があることをおizeびします。Facebookを自分では使用していません- 約Transl )。
次に、FB.Event.subscribe( 'edge.create'、...)を介した攻撃者ページは、被害者が[いいね]ボタンをクリックしたことを発見し、攻撃者のサーバーにメッセージを送信します。サーバーは友人のリストを受信し、新しい友人を識別します。 サーバーは、Facebook Graph APIを介してユーザーの公開情報を要求し、ユーザーを友人のリストから削除します。
これらのアクションにより、攻撃者はユーザーIDを含む公開ユーザーデータを取得できます。 この作品の作者は、Twitterボタン「フォロー」を使用して攻撃を行うことにより、この攻撃を実証しています。
クリックジャッキングとタイミング攻撃
HuangとJacksonは、ダブルクリックジャッキングと呼ばれるクリックタイミング攻撃について説明しました。この攻撃では、ユーザーが攻撃者のリクエストを介してOAuthプロバイダーにリダイレクトされます。 文書によると、このアプローチは、サイトがX-Frame-Optionsなどのiframeを使用したクリックジャックに対する対策を講じている場合でも機能します。
攻撃者はそのようなサイトにiframeを挿入できませんが、ポップアンダーウィンドウにOAuthページを読み込むことができます。 開いた後のポップアンダーウィンドウは、ブラウザウィンドウの後ろに隠れています。 ブラウザは、ユーザーの介入なしに開くポップアップをブロックし始めたため、この攻撃では、ポップアップのブロックをバイパスするために多数のクリックが必要です。
ダブルクリックジャック攻撃の概念コードを確認するには、「クリックジャック攻撃未解決」リンクをクリックします。
次は?
クリックジャックが行われ、多くの損害を与え続けています。 ほとんどの攻撃では、Facebookを介した悪意のあるリンクの拡散が使用されました。 しかし、このアプローチはよりmoreなシナリオに使用できます。 HuangとJacksonは、ウェブサイトとブラウザの開発者がクリックジャッキングのリスクを減らすことを可能にする推奨事項を提供します。 ただし、これらの手法は包括的なものではありません。 最悪の部分は、実用的なアドバイスを与えることができず、それを使用するとユーザーが保護されることです。