DoubleClickjacking: Eine neue Ära von UI-Angriffen
DoubleClickjacking ist eine neue Art von Angriff, der das Timing von Doppelklick-Ereignissen ausnutzt, um alle bekannten Clickjacking-Schutzmaßnahmen zu umgehen, einschließlich des X-Frame-Options-Headers, frame-ancestors von CSP und SameSite: Lax/Strict-Cookies. Angreifer täuschen Benutzer dazu, auf einen scheinbar harmlosen Button zu doppelklicken, und wechseln in Millisekunden schnell zwischen Fenstern, um Aktionen wie die Autorisierung bösartiger Anwendungen oder die Änderung von Kontoeinstellungen zu kapern. Es nutzt den geringen Zeit Unterschied zwischen den Ereignissen mousedown und onclick, wodurch es unabhängig von der Geschwindigkeit des Doppelklicks effektiv ist. Obwohl einige Websites dies abschwächen, indem sie Buttons deaktivieren, bis eine Benutzerinteraktion (Mausbewegungen oder Tastatureingabe) erkannt wird, erfordert dies Client-seitigen Schutz. Langfristige Lösungen erfordern neue Browser-Standards, um sich dagegen zu verteidigen.