Clickjacking ist keine harmlose Theorie, sondern ein ernsthaftes Problem, vor allem für Social Networks, da Clickjacking immer auch etwas Social Engineering erfordert. Und dafür sind Social Networks prädestiniert. Ein ganz typisches Beispiel ist ein "Wurm", der sich vor kurzem über Clickjacking auf Facebook ausbreitete. Aber das war nicht der erste Angriff auf Facebook, und auch andere populäre Seiten gingen in der Vergangenheit nicht leer aus. Inzwischen gibt es auch Angriffe, die sich mit den vorgestellten Gegenmaßnahmen nicht verhindern lassen. Aber zuerst zu einer Auswahl prominenter Opfer bzw. Angriffe:
Donnerstag, 3. Juni 2010
Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
Februar 2009: Twitter
Das erste prominente Opfer wurde Twitter: Ein Wurm nutzte Clickjacking und die Nachricht "Don't click <TinyURL-Link>", um sich Anfang Februar 2009 über Twitter zu verbreiten: Beim Klick auf den Link wurden die Opfer auf eine Seite weitergeleitet, auf der ein Button mit dem gleichen Text aufs Anklicken wartete. Heimlich wurde dabei ein unsichtbarer iframe unter den Mauszeiger geschoben, der beim Anklicken den Tweet unter dem Namen des Opfers abschickte. Diese Angriffstechnik wurde von Twitter schnell durch Einbau eines Framebusters blockiert. Ende Februar gab es einen weiteren Angriff, da der Framebuster-Schutz im Mobiltelefon-Bereich von Twitter nicht vorhanden war. Auch diesmal wurde die ausgenutzte Schwachstelle zügig behoben.
Oktober 2009: Facebook gefährdet
Im Oktober 2009 warnte 'theharmonyguy' vor den Gefahren eines Clickjacking-Angriffs auf Facebook. 'theharmonyguy' hatte im September im Rahmen des von ihn durchgeführten "Month of Facebook Bugs" Cross-Site-Scripting- und Cross-Site-Request-Forgery-Schwachstellen in Facebook und Facebook-Anwendungen veröffentlicht (FAQ, Ergebnisse und Abschlussbericht) und kennt sich entsprechend gut mit Facebook aus.
November 2009: Facebook
Im November 2009 wurde Facebook dann das erste Mal Opfer eines Clickjacking-Angriffs. Als erste berichteten Nick FitzGerald und Roger Thompson von AVG über einen von Gadi Evron entdeckten Wurm, der sich anscheinend über eine Cross-Site-Request-Forgery-Schwachstelle auf Facebook verbreitete. Besuchte ein Facebook-Nutzer eine präparierte Seite, wurde der Link zu dieser Seite auf der Wall des Opfers veröffentlicht und lockte weitere Benutzer in die Falle. Als Köder diente das Bild eines Bikini-Mädchens mit den Texten "Wanna C Somthin' HOT!??" über und "Click Da' Button, Baby!" unter dem Bild. Roger Thompson hat ein Video des Wurms erstellt, das er Vorsichtshalber mit der Warnung "WARNING! It is R-rated, so be aware" versehen hat:
Der "Bikini Worm" auf Facebook
Facebook-Sprecher Simon Axten teilte kurz darauf Forbes.com mit, dass es sich beim inzwischen "bikini worm" genannten Schädling um keinen Wurm, sondern um einen Clickjacking-Angriff handelte. Robert 'RSnake' Hansen kommentierte das Ganze mit
"Just another great example of how defense just keeps getting harder for the good guys. If you aren’t vulnerable to CSRF, you’re vulnerable to XSS. If you aren’t vulnerable to XSS you’re vulnerable to clickjacking…"
Einen Teils des Quelltexts des "Wurms" und eine Beschreibung seiner Funktion hat 'theharmonyguy' veröffentlicht.
Januar 2010
In Januar 2010 demonstrierte Shlomi Narkolayev in einem Video einen Clickjacking-Angriff auf Facebook, bei dem er Benutzern ungewollte Anwendungen unterschob:
Demo von Shlomi Narkolayev
Ebenfalls im Januar berichtete Craig Schmugar im Blog der McAfee Labs, was er bei der Suche nach Exploits für eine 0-Day-Schwachstelle im Internet Explorer gefunden hat: Eine interessante Kombination aus Clickjacking und Klickbetrug samt der dazu gehörenden Suchmaschinenoptimierung. Die Cyberkriminellen suchten über Google Trends nach interessanten Suchbegriffen, legten eines bösartige Webseite an und übermittelten einen Eintrag an Digg.com. Da dabei der über Google Trends ermittelte Titel übernommen und der Eintrag mit einer passenden Beschreibung versehen wurde, gelangte die präparierte Seite schnell in die Spitze der Suchergebnisse bei Google. Folgten Benutzer den Links zur Seite, landeten sie auf einer allgemein gehaltenen Seite mit einem anscheinenden Video, das zum Abspielen angeklickt werden sollte. Der Klick auf das angebliche Video wurde abgefangen und auf eine Google-Ads-Seite gelenkt.
März 2010
Laut 'theharmonyguy' hat Facebook inzwischen alle wichtigen Seiten mit
einem Clickjacking-Schutz
versehen.
Dabei handelt es sich um einer Art erweiterten Framebuster: Befindet sich
die Seite in einem Frame, wird ein Bild geladen, das Facebook über
den möglichen Angriff informiert. Außerdem wird ein
div-Element eingefügt, dass alle Elemente der Seite
überdeckt und, sofern die Seite sichtbar ist, diese abdunkelt. Zu
guter Letzt hat das div-Element einen
onclick-Event, der die Facebook-Seite bei einem Klick
außerhalb des Frames lädt.
Mai 2010
Der eingeführte Clickjacking-Schutz von Facebook war nicht ausreichend: Am 21. Mai berichtete Mikko H. Hyppönen von F-Secure über einen neuen "Wurm", der sich mit Hilfe von Clickjacking über Facebook verbreitete. Facebook-User wurden über die Nachricht
"try not to laugh xD http://www.fbhole.com/omg/allow.php?s=a&r=[Zufallszahl]"
auf eine Seite gelockt, auf der eine gefälschte Fehlermeldung
angezeigt wurde. Klickte das Opfer irgend wo hin, wurde die Nachricht auf
seiner Wall veröffentlicht: Ein unsichtbarer iframe mit einem
"publish"-Button klebte am Mauszeiger. Ein geradezu
klassischer Fall von Clickjacking - Facebooks Clickjacking-Schutz zum
Trotz.
Dieser Angriff endete, nachdem Hyppönen beim Hoster von
fbhole.com angerufen hat: Die Seite wurde vom Netz genommen.
Ob die Schwachstelle behoben wurde, ist nicht bekannt.
Vergesst Clickjacking, hier kommt "Likejacking"
Eine weitere
"Schwachstelle" führte am letzten Mai-Wochenende zu einem weiteren
Wurmausbruch:
Beim Klick auf einen "Like"-Button wird ohne weitere
Rückfrage o.Ä. eine Statusmeldung erzeugt. Das schreit geradezu
nach einem Clickjacking-Angriff, und diese Schreie wurden erhört:
Über Nachrichten wie
"LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS
MESSAGE."
"This man takes a picture of himself EVERYDAY for 8 YEARS!!"
"The Prom Dress That Got This Girl Suspended From School."
"This Girl Has An Interesting Way Of Eating A Banana, Check It Out!"
wurden die Opfer auf eine anscheinend leere Seite gelockt, die nur die
Aufforderung "Click here to continue" enthielt. Beim Klick wurde
ein in einem unsichtbaren iframe versteckter "Like"-Button
angeklickt und die entsprechende Nachricht im Namen des Opfers verbreitet.
Richard Cohen von Sophos nennt diesen Angriff
"Likejacking"
und weist darauf hin, dass nur das für den "Like"-Button
dokumentierte Verhalten ausgenutzt wird.
Ganz aktuell wird gerade eine weitere Sau durchs Dorf bzw. ein weiterer Wurm durch Facebook getrieben: Jetzt ist es der Text "Paramore n-a-k-ed photo leaked!", der per Clickjacking gemocht wird. Und "Justin Biebers Phone Number Leaked!" steht schon zur Ablösung bereit.
"Likejacking" oder "Buttonjacking"?
Das Problem von Facebooks "Like"-Button und allen anderen
Schaltflächen etc., die auf einer Webseite eingebunden werden, um
Aktionen im Kontext eines anderen Dienstes auszulösen: Sofern sie nur
auf einen Klick warten und daraufhin sofort eine Aktion im Namen eines bei
ihrem eigenen Dienst angemeldeten Benutzers auslösen, können sie
sich nicht mit einem Framebuster vor Clickjacking schützen, da es ja
gerade ihre Aufgabe ist, in einer anderen Seite eingebunden zu sein. Und
auch serverseitige Schutzmöglichkeiten wie der
"X-FRAME-OPTIONS"-Header lassen sich nicht anwenden. Sofern
die Seite, die sie einbettet, nicht selbst gegen Clickjacking
geschützt ist, sind sie ein leichtes Opfer eines solchen Angriffs.
Die einzige Abwehrmöglichkeit: Nach dem Klick auf den Button wird wie
bei Twitter die eigene, serverseitig geschützte Seite geöffnet,
in der ein weiterer Klick notwendig ist. Alternativ kann auch eine erneute
Authentifizierung des Benutzers oder das Lösen eines CAPTCHAs
erzwungen werden. Die Frage ist nur, wie oft diese Buttons noch angeklickt
werden, wenn es solche zusätzlichen Hürden gibt.
Um auf meine
Antwort
auf einen
Tweet
von robsblog zurück zu kommen: Flattr scheint von dem Problem nicht
betroffen zu sein, anscheinend muss man sich dort jedes Mal anmelden bzw.
die Aktion bestätigen, bevor wirklich etwas passiert. Testen kann ich
es allerdings nicht, da ich nicht vorhabe, mich dort anzumelden. Facebooks
"Like"-Button ist betroffen, auf einen Proof-of-Concept kann
ich jetzt ja verzichten. In der
nächsten Folge
gibt es ein zwei praktische Beispiele für die Funktion von Clickjacking sowie
Informationen über weitere mögliche Angriffe.
Übersicht über alle Artikel zum Thema
- Clickjacking - Angriffe auf Seiten ohne Schwachstellen
- Clickjacking - Auch komplizierte Aktionen sind möglich
- Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
- Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
- Clickjacking - "Likejacking" unter die Haube geguckt
- Clickjacking - The next Generation
- Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten
- Cookiejacking - Keksdiebe im Internet Explorer
- Likejacking - Facebook im Visier der Cyberkriminellen
- Clickjacking - Gute und Schlechte Nachrichten
- Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund
Aufgenommen: Jan 03, 09:14
stellte mein ältester Neffe, noch im Kindergartenalter, einmal sehr treffend fest. Stimmt. Und wenn man beim Vorbereiten von Blogbeiträgen in Serendipity vergisst, zum Schluss von "Entwurf" auf "Veröffentlichung" zu schalten, dann e
Aufgenommen: Jun 04, 12:27
Ich habe soeben die Präsentationen zu meinen Vorträgen auf der WebTech Conference hochgeladen. Sie finden Sie auf www.ceilers-it.de/konferenzen/ sowie auch hier: Client Security im Web 2.0 und mit HTML5 Beschreibung: Schwachstel
Aufgenommen: Okt 12, 16:08