Skip to content

Clickjacking - Gute und Schlechte Nachrichten

Außer quasi ständigen Angriffen auf bzw. über Facebook gab es beim Clickjacking noch einige weitere mehr oder weniger erfreuliche Nachrichten. Fangen wir mit den schlechten Nachrichten an:

Framebuster verhindern Clickjacking - aber nicht immer

Update 30.1.2014:
Das folgende gilt inzwischen teilweise nur noch eingeschränkt. Der aktuelle Stand der Dinge für die Server-Seite ist hier beschrieben.
Ende des Updates

Anfangs wurden Framebuster, meist im Form des JavaScript-Codes

<script type="text/javascript">
if (top!=self) top.location.href=self.location.href;
</script>

als Allheilmittel gegen Clickjacking angesehen. Schon bald stellte sich heraus, dass sich die meisten Framebuster umgehen lassen. Gustav Rydstedt, Elie Bursztein und Dan Boneh von der Stanford University und Collin Jackson von der Carnegie Mellon University wiesen im Juli 2010 in ihrem Paper "Busting Frame Busting - a Study of Clickjacking Vulnerabilities on Popular Sites" (PDF) nach, dass Framebuster keine Sicherheit vor Clickjacking garantieren: Sie untersuchten die Framebuster der Alexa Top-500 Sites, die sich alle auf die eine oder andere Art und in mehr oder weniger vielen Browsern umgehen lassen.

Sie empfehlen als sichere Lösung den X-FRAME-OPTIONS-HTTP-Header, Mozillas Content Security Policy (CSP) sowie einen Framebuster in JavaScript, den sie für den (damals) sichersten hielten.

Allerdings sollte man sich den Einsatz von JavaScript-Framebustern gut überlegen, denn mit Einführung des sandbox-Attributs für iframes in HTML5 haben die ausgedient: Das sandbox-Attribut deaktiviert die Top-Level-Navigation, so dass der Framebuster versagt und die in den iframe mit sandbox-Attribut geladene Seite für Clickjacking anfällig ist. Darauf weist z.B. die IT-Sicherheitsbehörde der EU (ENISA, European Network and Information Security Agency) in einer Untersuchung (PDF) hin.

Da die CSP nur in Mozilla-Programmen funktioniert, bleibt nur der X-FRAME-OPTIONS-HTTP-Header als von allen Browsern akzeptierte Lösung.

Google- und Twitter-Buttons erlauben Clickjacking

Twitters "Follow"-Button ist für Clickjacking anfällig, und auch Googles +1-Button ist betroffen. Der Entdecker der Schwachstellen hat jeweils Demo-Seiten vorbereitet. Während bei Twitter das Opfer zum Follower eines vom Angreifer ausgewählten Feeds wird, empfiehlt es bei Googles +1-Button eine vom Angreifer ausgewählte Seite seinen Kontakten (vergleichbar dem Likejacking bei Facebook). Nicht ohne Grund hatte ich damals das Likejacking als Buttonjacking bezeichnet. Um mich selbst zu zitieren:

"Das Problem von Facebooks "Like"-Button und allen anderen Schaltflächen etc., die auf einer Webseite eingebunden werden, um Aktionen im Kontext eines anderen Dienstes auszulösen: Sofern sie nur auf einen Klick warten und daraufhin sofort eine Aktion im Namen eines bei ihrem eigenen Dienst angemeldeten Benutzers auslösen, können sie sich nicht mit einem Framebuster vor Clickjacking schützen, da es ja gerade ihre Aufgabe ist, in einer anderen Seite eingebunden zu sein. Und auch serverseitige Schutzmöglichkeiten wie der "X-FRAME-OPTIONS"-Header lassen sich nicht anwenden. Sofern die Seite, die sie einbettet, nicht selbst gegen Clickjacking geschützt ist, sind sie ein leichtes Opfer eines solchen Angriffs."

Aber kommen wir zu den guten Nachrichten:

Android-Update schützt vor "mobilen Clickjacking"

Ein mit dem Clickjacking vergleichbarer Angriff auf Smartphones ist das Touch-Event Hijacking oder TapJacking, bei dem statt Mausklicks das Tippen auf den Touchscreen umgeleitet wird. Statt auf der angezeigten Benutzeroberfläche landen die Touch-Events auf einer für den Benutzer unsichtbaren Benutzeroberfläche. Dieser Angriff wurde von Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein und Dan Boneh von der Stanford University in ihrem Vortrag "Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks" auf dem 4th USENIX Workshop on Offensive Technologies vorgestellt (Paper als PDF) In Android wurde in Version 2.3 eine Schutzmaßnahme gegen diese Angriffe implementiert. Es ist nun möglich, Interaktions-Events zu blockieren, wenn die zugehörige Oberfläche nicht sichtbar ist, z.B. weil sie von einer anderen verdeckt wird.

WordPress 3.1.3 mit Clickjacking-Schutz

WordPress 3.1.3 enthält einen Clickjacking-Schutz für Administrations- und Login-Seiten. Dadurch ist es z.B. nicht mehr möglich, über einen Clickjacking-Angriff auf einem Administrator diesen unbemerkt Einstellungen ändern zu lassen. Es wäre schön, wenn die Entwickler weiterer Webanwendungen sich an diesem Vorbild orientieren würden.

Kein Clickjacking bei Drive-by-Angriff über Facebook

Am 1. Juni 2011 meldete F-Secure einen Angriff über Facebook, bei dem die "Like"-Funktion missbraucht wurde, um die Opfer auf eine angebliche Video-Seite zu lotsen, auf der ihnen dann je nach System eine ungenannte Schadsoftware für Windows oder Scareware für Mac OS X untergeschoben wurde. Entgegen ersten Annahmen kam dabei kein Clickjacking zum Einsatz. Aber auch ohne Schadsoftware zu verbreiten kann mit Clickjacking ja mehr als genug Schaden angerichtet werden.

Und damit ist das Thema "Clickjacking" mal wieder abgeschlossen. Bis es wieder etwas Neues gibt, was leider früher oder später passieren wird. In der nächsten Folge geht es um Möglichkeiten zum Manipulieren von Anzeigen aller Art durch Right to Left Override (RLO) Unicode Tricks.

Carsten Eilers

Update 13.5.2015
Aus Anlass des 5jährigen Blog-Jubiläums habe ich alle Clickjacking-Artikel zusammengefasst, überarbeitet, ergänzt und auf den aktuellen Stand gebracht. Das Ergebnis ist ein (natürlich kostenloses) eBook im ePub- und PDF-Format: 5 Jahre Blog - Als Special: "Clickjacking"-eBook
Ende des Updates vom 13.5.2015


Übersicht über alle Artikel zum Thema

Clickjacking - Angriffe auf Seiten ohne Schwachstellen
Clickjacking - Auch komplizierte Aktionen sind möglich
Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
Clickjacking - "Likejacking" unter die Haube geguckt
Clickjacking - The next Generation
Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten
Cookiejacking - Keksdiebe im Internet Explorer
Likejacking - Facebook im Visier der Cyberkriminellen
Clickjacking - Gute und Schlechte Nachrichten
Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Neue Angriffe auf Webanwendungen über Clickjacking und Cookies
Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge
Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn
Clickjacking: "Zaubertricks" ermöglichen Likejacking und mehr
Dieses und Jenes zum Clickjacking
5 Jahre Blog - Als Special: "Clickjacking"-eBook

Trackbacks

Dipl.-Inform. Carsten Eilers am : Alternativen zum SSL-CA-Zertifizierungssystem

"Alternativen zum SSL-CA-Zertifizierungssystem" vollständig lesen
Spätestens seit dem Angriff auf DigiNotar und seinen Folgen dürfte jedem klar geworden sein, dass das bestehende Zertifizierungssystem für SSL-Zertifikate unsicher ist und eine permanente Bedrohung darstellt. Wenn man den Zertifizi

Dipl.-Inform. Carsten Eilers am : Präsentationen und Links zu meinen #wtc11-Vorträgen sind online

"Präsentationen und Links zu meinen #wtc11-Vorträgen sind online" vollständig lesen
Ich habe soeben die Präsentationen zu meinen Vorträgen auf der WebTech Conference hochgeladen. Sie finden Sie auf www.ceilers-it.de/konferenzen/ sowie auch hier: Client Security im Web 2.0 und mit HTML5 Beschreibung: Schwachstel

Dipl.-Inform. Carsten Eilers am : Werbung in eigener Sache: E-Book "HTML5 Security" veröffentlicht

"Werbung in eigener Sache: E-Book "HTML5 Security" veröffentlicht" vollständig lesen
Statt eines Standpunkt gibt es diesmal Werbung in eigener Sache. Vielleicht haben Sie den Hinweis in der rechten Seitenleiste ja schon gesehen: Ich habe ein neues Buch geschrieben. Sein Titel: "HTML5 Security". Erschienen ist es in der neuen E-Bo

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!