Skip to content

Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"

Clickjacking ist keine harmlose Theorie, sondern ein ernsthaftes Problem, vor allem für Social Networks, da Clickjacking immer auch etwas Social Engineering erfordert. Und dafür sind Social Networks prädestiniert. Ein ganz typisches Beispiel ist ein "Wurm", der sich vor kurzem über Clickjacking auf Facebook ausbreitete. Aber das war nicht der erste Angriff auf Facebook, und auch andere populäre Seiten gingen in der Vergangenheit nicht leer aus. Inzwischen gibt es auch Angriffe, die sich mit den vorgestellten Gegenmaßnahmen nicht verhindern lassen. Aber zuerst zu einer Auswahl prominenter Opfer bzw. Angriffe:

2009 - Die ersten Angriffe starten...

Februar 2009: Twitter

Das erste prominente Opfer wurde Twitter: Ein Wurm nutzte Clickjacking und die Nachricht "Don't click <TinyURL-Link>", um sich Anfang Februar 2009 über Twitter zu verbreiten: Beim Klick auf den Link wurden die Opfer auf eine Seite weitergeleitet, auf der ein Button mit dem gleichen Text aufs Anklicken wartete. Heimlich wurde dabei ein unsichtbarer iframe unter den Mauszeiger geschoben, der beim Anklicken den Tweet unter dem Namen des Opfers abschickte. Diese Angriffstechnik wurde von Twitter schnell durch Einbau eines Framebusters blockiert. Ende Februar gab es einen weiteren Angriff, da der Framebuster-Schutz im Mobiltelefon-Bereich von Twitter nicht vorhanden war. Auch diesmal wurde die ausgenutzte Schwachstelle zügig behoben.

Oktober 2009: Facebook gefährdet

Im Oktober 2009 warnte 'theharmonyguy' vor den Gefahren eines Clickjacking-Angriffs auf Facebook. 'theharmonyguy' hatte im September im Rahmen des von ihn durchgeführten "Month of Facebook Bugs" Cross-Site-Scripting- und Cross-Site-Request-Forgery-Schwachstellen in Facebook und Facebook-Anwendungen veröffentlicht (FAQ, Ergebnisse und Abschlussbericht) und kennt sich entsprechend gut mit Facebook aus.

November 2009: Facebook

Im November 2009 wurde Facebook dann das erste Mal Opfer eines Clickjacking-Angriffs. Als erste berichteten Nick FitzGerald und Roger Thompson von AVG über einen von Gadi Evron entdeckten Wurm, der sich anscheinend über eine Cross-Site-Request-Forgery-Schwachstelle auf Facebook verbreitete. Besuchte ein Facebook-Nutzer eine präparierte Seite, wurde der Link zu dieser Seite auf der Wall des Opfers veröffentlicht und lockte weitere Benutzer in die Falle. Als Köder diente das Bild eines Bikini-Mädchens mit den Texten "Wanna C Somthin' HOT!??" über und "Click Da' Button, Baby!" unter dem Bild. Roger Thompson hat ein Video des Wurms erstellt, das er Vorsichtshalber mit der Warnung "WARNING! It is R-rated, so be aware" versehen hat.

Facebook-Sprecher Simon Axten teilte kurz darauf Forbes.com mit, dass es sich beim inzwischen "bikini worm" genannten Schädling um keinen Wurm, sondern um einen Clickjacking-Angriff handelte. Robert 'RSnake' Hansen kommentierte das Ganze mit

"Just another great example of how defense just keeps getting harder for the good guys. If you aren’t vulnerable to CSRF, you’re vulnerable to XSS. If you aren’t vulnerable to XSS you’re vulnerable to clickjacking…"

Einen Teils des Quelltexts des "Wurms" und eine Beschreibung seiner Funktion hat 'theharmonyguy' veröffentlicht.

Januar 2010

In Januar 2010 demonstrierte Shlomi Narkolayev in einem Video einen Clickjacking-Angriff auf Facebook, bei dem er Benutzern ungewollte Anwendungen unterschob.

Ebenfalls im Januar berichtete Craig Schmugar im Blog der McAfee Labs, was er bei der Suche nach Exploits für eine 0-Day-Schwachstelle im Internet Explorer gefunden hat: Eine interessante Kombination aus Clickjacking und Klickbetrug samt der dazu gehörenden Suchmaschinenoptimierung. Die Cyberkriminellen suchten über Google Trends nach interessanten Suchbegriffen, legten eines bösartige Webseite an und übermittelten einen Eintrag an Digg.com. Da dabei der über Google Trends ermittelte Titel übernommen und der Eintrag mit einer passenden Beschreibung versehen wurde, gelangte die präparierte Seite schnell in die Spitze der Suchergebnisse bei Google. Folgten Benutzer den Links zur Seite, landeten sie auf einer allgemein gehaltenen Seite mit einem anscheinenden Video, das zum Abspielen angeklickt werden sollte. Der Klick auf das angebliche Video wurde abgefangen und auf eine Google-Ads-Seite gelenkt.

März 2010

Laut 'theharmonyguy' hat Facebook inzwischen alle wichtigen Seiten mit einem Clickjacking-Schutz versehen. Dabei handelt es sich um einer Art erweiterten Framebuster: Befindet sich die Seite in einem Frame, wird ein Bild geladen, das Facebook über den möglichen Angriff informiert. Außerdem wird ein div-Element eingefügt, dass alle Elemente der Seite überdeckt und, sofern die Seite sichtbar ist, diese abdunkelt. Zu guter Letzt hat das div-Element einen onclick-Event, der die Facebook-Seite bei einem Klick außerhalb des Frames lädt.

Mai 2010

Der eingeführte Clickjacking-Schutz von Facebook war nicht ausreichend: Am 21. Mai berichtete Mikko H. Hyppönen von F-Secure über einen neuen "Wurm", der sich mit Hilfe von Clickjacking über Facebook verbreitete. Facebook-User wurden über die Nachricht

"try not to laugh xD http://www.fbhole.com/omg/allow.php?s=a&r=[Zufallszahl]"

auf eine Seite gelockt, auf der eine gefälschte Fehlermeldung angezeigt wurde. Klickte das Opfer irgend wo hin, wurde die Nachricht auf seiner Wall veröffentlicht: Ein unsichtbarer iframe mit einem "publish"-Button klebte am Mauszeiger. Ein geradezu klassischer Fall von Clickjacking - Facebooks Clickjacking-Schutz zum Trotz.

Dieser Angriff endete, nachdem Hyppönen beim Hoster von fbhole.com angerufen hat: Die Seite wurde vom Netz genommen. Ob die Schwachstelle behoben wurde, ist nicht bekannt.

Vergesst Clickjacking, hier kommt "Likejacking"

Eine weitere "Schwachstelle" führte am letzten Mai-Wochenende zu einem weiteren Wurmausbruch: Beim Klick auf einen "Like"-Button wird ohne weitere Rückfrage o.Ä. eine Statusmeldung erzeugt. Das schreit geradezu nach einem Clickjacking-Angriff, und diese Schreie wurden erhört: Über Nachrichten wie

"LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE."
"This man takes a picture of himself EVERYDAY for 8 YEARS!!"
"The Prom Dress That Got This Girl Suspended From School."
"This Girl Has An Interesting Way Of Eating A Banana, Check It Out!"

wurden die Opfer auf eine anscheinend leere Seite gelockt, die nur die Aufforderung "Click here to continue" enthielt. Beim Klick wurde ein in einem unsichtbaren iframe versteckter "Like"-Button angeklickt und die entsprechende Nachricht im Namen des Opfers verbreitet. Richard Cohen von Sophos nennt diesen Angriff "Likejacking" und weist darauf hin, dass nur das für den "Like"-Button dokumentierte Verhalten ausgenutzt wird.

Ganz aktuell wird gerade eine weitere Sau durchs Dorf bzw. ein weiterer Wurm durch Facebook getrieben: Jetzt ist es der Text "Paramore n-a-k-ed photo leaked!", der per Clickjacking gemocht wird. Und "Justin Biebers Phone Number Leaked!" steht schon zur Ablösung bereit.

"Likejacking" oder "Buttonjacking"?

Das Problem von Facebooks "Like"-Button und allen anderen Schaltflächen etc., die auf einer Webseite eingebunden werden, um Aktionen im Kontext eines anderen Dienstes auszulösen: Sofern sie nur auf einen Klick warten und daraufhin sofort eine Aktion im Namen eines bei ihrem eigenen Dienst angemeldeten Benutzers auslösen, können sie sich nicht mit einem Framebuster vor Clickjacking schützen, da es ja gerade ihre Aufgabe ist, in einer anderen Seite eingebunden zu sein. Und auch serverseitige Schutzmöglichkeiten wie der "X-FRAME-OPTIONS"-Header lassen sich nicht anwenden. Sofern die Seite, die sie einbettet, nicht selbst gegen Clickjacking geschützt ist, sind sie ein leichtes Opfer eines solchen Angriffs. Die einzige Abwehrmöglichkeit: Nach dem Klick auf den Button wird wie bei Twitter die eigene, serverseitig geschützte Seite geöffnet, in der ein weiterer Klick notwendig ist. Alternativ kann auch eine erneute Authentifizierung des Benutzers oder das Lösen eines CAPTCHAs erzwungen werden. Die Frage ist nur, wie oft diese Buttons noch angeklickt werden, wenn es solche zusätzlichen Hürden gibt.

Um auf meine Antwort auf einen Tweet von robsblog zurück zu kommen: Flattr scheint von dem Problem nicht betroffen zu sein, anscheinend muss man sich dort jedes Mal anmelden bzw. die Aktion bestätigen, bevor wirklich etwas passiert. Testen kann ich es allerdings nicht, da ich nicht vorhabe, mich dort anzumelden. Facebooks "Like"-Button ist betroffen, auf einen Proof-of-Concept kann ich jetzt ja verzichten. In der nächsten Folge gibt es ein zwei praktische Beispiele für die Funktion von Clickjacking sowie Informationen über weitere mögliche Angriffe.

Carsten Eilers

Update 13.5.2015
Aus Anlass des 5jährigen Blog-Jubiläums habe ich alle Clickjacking-Artikel zusammengefasst, überarbeitet, ergänzt und auf den aktuellen Stand gebracht. Das Ergebnis ist ein (natürlich kostenloses) eBook im ePub- und PDF-Format: 5 Jahre Blog - Als Special: "Clickjacking"-eBook
Ende des Updates vom 13.5.2015


Übersicht über alle Artikel zum Thema

Clickjacking - Angriffe auf Seiten ohne Schwachstellen
Clickjacking - Auch komplizierte Aktionen sind möglich
Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
Clickjacking - "Likejacking" unter die Haube geguckt
Clickjacking - The next Generation
Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten
Cookiejacking - Keksdiebe im Internet Explorer
Likejacking - Facebook im Visier der Cyberkriminellen
Clickjacking - Gute und Schlechte Nachrichten
Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Neue Angriffe auf Webanwendungen über Clickjacking und Cookies
Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge
Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn
Clickjacking: "Zaubertricks" ermöglichen Likejacking und mehr
Dieses und Jenes zum Clickjacking
5 Jahre Blog - Als Special: "Clickjacking"-eBook

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr

Vorschau anzeigen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: &quot;Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am : "Heute ist morgen schon gestern"

Vorschau anzeigen
stellte mein ältester Neffe, noch im Kindergartenalter, einmal sehr treffend fest. Stimmt. Und wenn man beim Vorbereiten von Blogbeiträgen in Serendipity vergisst, zum Schluss von &quot;Entwurf&quot; auf &quot;Veröffentlichung&quot; zu schalten, dann e

Dipl.-Inform. Carsten Eilers am : Präsentationen und Links zu meinen #wtc11-Vorträgen sind online

Vorschau anzeigen
Ich habe soeben die Präsentationen zu meinen Vorträgen auf der WebTech Conference hochgeladen. Sie finden Sie auf www.ceilers-it.de/konferenzen/ sowie auch hier: Client Security im Web 2.0 und mit HTML5 Beschreibung: Schwachstel

Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit

Vorschau anzeigen
Im windows.developer 12.2014 ist ein Artikel über Angriffe zur Sicherheit von JavaScript erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zu

Dipl.-Inform. Carsten Eilers am : Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"

Vorschau anzeigen
Bei entwickler.press ist mein eBook über die Sicherheit von JavaScript erschienen: &quot;JavaScript Security - Sicherheit im Webbrowser&quot; Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und HTML5, dass ja viele neue JavaSc

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!