A Half Mast durante unos años, la técnica de clickjacking de SO regresa con una variante llamada DoubleClickJacking. Fue descubierta por el investigador de seguridad, Paulos Yibelo. En un artículoÉl indica "en lugar de confiar en un solo clic, ella aprovecha una secuencia de doble clic". Agrega: "Si este cambio puede parecer inofensivo, abre la puerta a los nuevos ataques de manejo de la interfaz de usuario que evitan todas las protecciones conocidas contra Clickjacking, incluida la opción X-Frame o un Samesite: LAX/STRICT".

Se refiere aquí a Clickjacking, también llamado reequilibrio de la interfaz de usuario. Es una técnica de ataque que consiste en alentar a los usuarios a hacer clic en un elemento de página web aparentemente inofensivo (un botón, por ejemplo), lo que conduce a la implementación de malware o la exfiltración de datos confidenciales. El DoubleClickJacking es una variación de este método al explotar el espacio entre el inicio de un clic y el final del segundo clic para evitar controles de seguridad y validar, por ejemplo, una página de autenticación. El hacker puede tomar el control de cuentas con una interacción mínima. En varios videos, el investigador obtiene acceso a las cuentas de Salesforce, Slack y Shopify.

Método de ataque de DoubleClickjacking. (Crédito de la foto: Paulos Yibelo)

Modernizar la defensa contra clickjacking

Como parte de Clickjacking, los sitios web han configurado técnicas para minimizar estos ataques. "La mayoría de las aplicaciones web y los marcos comienzan desde el principio de que un clic forzado es un riesgo", dice Paulos Yibelo. Sin embargo, "DoubleClickjacking agrega una capa que muchos medios de defensa no pueden administrar. Los métodos como las opciones de frame X, las cookies de samese o el CSP son ineficaces contra este ataque", dijo el investigador.

Por lo tanto, recomienda una evolución de estos sistemas de defensa. Los proveedores de Navigator pueden adoptar herramientas como las opciones X-Frame para frustrar los exploits de doble clic. Algunos sitios web también han adoptado enfoques que desactivan los botones críticos de forma predeterminada y envían una alerta en caso de una solicitud de doble clic. Los servicios como Dropbox ya usan tales medidas preventivas.