安全專家揭示了一種新型的“普遍存在的基于時間的漏洞”，該漏洞通過利用雙擊操作來推動點擊劫持攻擊及賬戶接管，幾乎波及所有大型網站。這一技術已被安全研究員Paulos Yibelo命名為“DoubleClickjacking”。

Yibelo指出：“它并非依賴單一點擊，而是利用雙擊的序列。這看似微小的變化，卻為新的UI操控攻擊敞開了大門，能夠繞過所有現(xiàn)有的點擊劫持防護措施，包括X-Frame-Options頭部或SameSite: Lax/Strict cookie。”

點擊劫持，亦稱作UI重定向，是一種攻擊手段，誘使用戶點擊看似無害的網頁元素（如按鈕），進而導致惡意軟件的安裝或敏感信息的泄露。DoubleClickjacking作為這一領域的變種，它利用點擊開始與第二次點擊結束之間的時間差來規(guī)避安全控制，以最小的用戶交互實現(xiàn)賬戶接管。

具體步驟如下：

• 用戶訪問一個由攻擊者控制的網站，該網站要么在無需任何用戶操作的情況下自動打開一個新的瀏覽器窗口(或標簽頁)，要么在點擊按鈕時打開。
• 新窗口可能模仿一些無害的內容，例如CAPTCHA驗證，提示用戶雙擊以完成操作。
• 在雙擊過程中，原始網站利用JavaScript Window Location對象悄悄重定向至惡意頁面(如，批準惡意的OAuth應用程序)。
• 同時，頂層窗口被關閉，使用戶在毫不知情的情況下通過批準權限確認對話框授予訪問權限。

Yibelo表示：“大多數(shù)Web應用程序和框架都認為只有單次強制點擊存在風險。DoubleClickjacking引入了一層許多防御措施從未考慮過的內容。像X-Frame-Options、SameSite cookie或CSP這樣的方法無法抵御這種攻擊。”

網站所有者可通過客戶端手段消除這類漏洞，默認禁用關鍵按鈕，僅在檢測到鼠標手勢或按鍵時激活。研究發(fā)現(xiàn)，諸如Dropbox等服務已經實施了此類預防措施。作為長遠解決方案，建議瀏覽器供應商采納類似X-Frame-Options的新標準來防御雙擊利用。

Yibelo強調：“DoubleClickjacking是一種眾所周知的攻擊類別的變種。通過利用點擊之間的事件時間差，攻擊者能夠在瞬間無縫地將良性UI元素替換為敏感元素。”

此次披露距離研究人員展示另一種點擊劫持變體（即跨窗口偽造，亦稱作手勢劫持）已近一年，該變體依賴于說服受害者在攻擊者控制的網站上按下或按住Enter鍵或空格鍵以啟動惡意操作。

在Coinbase和Yahoo!等網站上，如果已登錄任一網站的受害者訪問攻擊者網站并按住Enter/空格鍵，則可能被利用來實現(xiàn)賬戶接管。

“這是因為這兩個網站都允許潛在攻擊者創(chuàng)建具有廣泛權限范圍的OAuth應用程序以訪問其API，并且它們都為用于授權應用程序進入受害者賬戶的‘允許/授權’按鈕設置了靜態(tài)和/或可預測的‘ID’值。”

參考來源：https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html