DoubleClickjacking: Una Nueva Era de Ataques de IU
DoubleClickjacking es un nuevo tipo de ataque que explota el tiempo de los eventos de doble clic para eludir todas las protecciones conocidas contra clickjacking, incluyendo el encabezado X-Frame-Options, frame-ancestors de CSP y cookies SameSite: Lax/Strict. Los atacantes engañan a los usuarios para que hagan doble clic en un botón aparentemente benigno, cambiando rápidamente entre ventanas en milisegundos para secuestrar acciones como autorizar aplicaciones maliciosas o cambiar la configuración de la cuenta. Aprovecha la sutil diferencia de tiempo entre los eventos mousedown y onclick, haciéndolo eficaz independientemente de la velocidad del doble clic. Si bien algunos sitios mitigan esto deshabilitando los botones hasta que se detecta la interacción del usuario (movimiento del ratón o entrada del teclado), esto requiere protección del lado del cliente. Las soluciones a largo plazo requieren nuevos estándares de navegador para defenderse contra esto.