더블클릭 재킹: 모든 클릭재킹 방어를 우회하는 새로운 UI 공격
2025-01-17
더블클릭 재킹은 더블클릭 이벤트의 타이밍을 이용하여 X-Frame-Options 헤더, CSP의 frame-ancestors, SameSite: Lax/Strict 쿠키 등 기존의 모든 클릭재킹 방어를 우회하는 새로운 공격 기법입니다. 공격자는 사용자가 무해해 보이는 버튼을 더블클릭하도록 유도하여 밀리초 단위로 창을 빠르게 전환함으로써 악의적인 애플리케이션 승인이나 계정 설정 변경 등의 작업을 가로챕니다. mousedown 이벤트와 onclick 이벤트 사이의 미세한 시간 차이를 이용하여 더블클릭 속도에 관계없이 효과적으로 작동합니다. 일부 사이트에서는 사용자 상호작용(마우스 이동이나 키보드 입력)이 감지될 때까지 버튼을 비활성화하여 이 문제를 완화하지만, 이는 클라이언트 측 보호가 필요합니다. 장기적인 해결책으로는 이러한 공격에 대한 방어를 목적으로 하는 새로운 브라우저 표준이 필요합니다.