DoubleClickjacking: Uma Nova Era de Ataques de UI
DoubleClickjacking é um novo tipo de ataque que explora a temporização de eventos de duplo clique para contornar todas as proteções conhecidas contra clickjacking, incluindo o cabeçalho X-Frame-Options, frame-ancestors do CSP e cookies SameSite: Lax/Strict. Os atacantes enganam os usuários para que cliquem duas vezes em um botão aparentemente benigno, alternando rapidamente entre janelas em milissegundos para sequestrar ações como autorizar aplicativos maliciosos ou alterar as configurações da conta. Ele alavanca a sutil diferença de tempo entre os eventos mousedown e onclick, tornando-o eficaz independentemente da velocidade do duplo clique. Embora alguns sites mitiguem isso desativando botões até que a interação do usuário (movimento do mouse ou entrada do teclado) seja detectada, isso requer proteção do lado do cliente. Soluções de longo prazo exigem novos padrões de navegador para se defender contra isso.