Dipl.-Inform. Carsten Eilers

Februar 2009: Twitter

Das erste prominente Opfer wurde Twitter: Ein Wurm nutzte Clickjacking und die Nachricht "Don't click <TinyURL-Link>", um sich Anfang Februar 2009 über Twitter zu verbreiten: Beim Klick auf den Link wurden die Opfer auf eine Seite weitergeleitet, auf der ein Button mit dem gleichen Text aufs Anklicken wartete. Heimlich wurde dabei ein unsichtbarer iframe unter den Mauszeiger geschoben, der beim Anklicken den Tweet unter dem Namen des Opfers abschickte. Diese Angriffstechnik wurde von Twitter schnell durch Einbau eines Framebusters blockiert. Ende Februar gab es einen weiteren Angriff, da der Framebuster-Schutz im Mobiltelefon-Bereich von Twitter nicht vorhanden war. Auch diesmal wurde die ausgenutzte Schwachstelle zügig behoben.

Oktober 2009: Facebook gefährdet

Im Oktober 2009 warnte 'theharmonyguy' vor den Gefahren eines Clickjacking-Angriffs auf Facebook. 'theharmonyguy' hatte im September im Rahmen des von ihn durchgeführten "Month of Facebook Bugs" Cross-Site-Scripting- und Cross-Site-Request-Forgery-Schwachstellen in Facebook und Facebook-Anwendungen veröffentlicht (FAQ, Ergebnisse und Abschlussbericht) und kennt sich entsprechend gut mit Facebook aus.

November 2009: Facebook

Im November 2009 wurde Facebook dann das erste Mal Opfer eines Clickjacking-Angriffs. Als erste berichteten Nick FitzGerald und Roger Thompson von AVG über einen von Gadi Evron entdeckten Wurm, der sich anscheinend über eine Cross-Site-Request-Forgery-Schwachstelle auf Facebook verbreitete. Besuchte ein Facebook-Nutzer eine präparierte Seite, wurde der Link zu dieser Seite auf der Wall des Opfers veröffentlicht und lockte weitere Benutzer in die Falle. Als Köder diente das Bild eines Bikini-Mädchens mit den Texten "Wanna C Somthin' HOT!??" über und "Click Da' Button, Baby!" unter dem Bild. Roger Thompson hat ein Video des Wurms erstellt, das er Vorsichtshalber mit der Warnung "WARNING! It is R-rated, so be aware" versehen hat.

Facebook-Sprecher Simon Axten teilte kurz darauf Forbes.com mit, dass es sich beim inzwischen "bikini worm" genannten Schädling um keinen Wurm, sondern um einen Clickjacking-Angriff handelte. Robert 'RSnake' Hansen kommentierte das Ganze mit

"Just another great example of how defense just keeps getting harder for the good guys. If you aren’t vulnerable to CSRF, you’re vulnerable to XSS. If you aren’t vulnerable to XSS you’re vulnerable to clickjacking…"

Einen Teils des Quelltexts des "Wurms" und eine Beschreibung seiner Funktion hat 'theharmonyguy' veröffentlicht.

Januar 2010

In Januar 2010 demonstrierte Shlomi Narkolayev in einem Video einen Clickjacking-Angriff auf Facebook, bei dem er Benutzern ungewollte Anwendungen unterschob.

Ebenfalls im Januar berichtete Craig Schmugar im Blog der McAfee Labs, was er bei der Suche nach Exploits für eine 0-Day-Schwachstelle im Internet Explorer gefunden hat: Eine interessante Kombination aus Clickjacking und Klickbetrug samt der dazu gehörenden Suchmaschinenoptimierung. Die Cyberkriminellen suchten über Google Trends nach interessanten Suchbegriffen, legten eines bösartige Webseite an und übermittelten einen Eintrag an Digg.com. Da dabei der über Google Trends ermittelte Titel übernommen und der Eintrag mit einer passenden Beschreibung versehen wurde, gelangte die präparierte Seite schnell in die Spitze der Suchergebnisse bei Google. Folgten Benutzer den Links zur Seite, landeten sie auf einer allgemein gehaltenen Seite mit einem anscheinenden Video, das zum Abspielen angeklickt werden sollte. Der Klick auf das angebliche Video wurde abgefangen und auf eine Google-Ads-Seite gelenkt.

März 2010

Laut 'theharmonyguy' hat Facebook inzwischen alle wichtigen Seiten mit einem Clickjacking-Schutz versehen. Dabei handelt es sich um einer Art erweiterten Framebuster: Befindet sich die Seite in einem Frame, wird ein Bild geladen, das Facebook über den möglichen Angriff informiert. Außerdem wird ein div-Element eingefügt, dass alle Elemente der Seite überdeckt und, sofern die Seite sichtbar ist, diese abdunkelt. Zu guter Letzt hat das div-Element einen onclick-Event, der die Facebook-Seite bei einem Klick außerhalb des Frames lädt.

Mai 2010

Der eingeführte Clickjacking-Schutz von Facebook war nicht ausreichend: Am 21. Mai berichtete Mikko H. Hyppönen von F-Secure über einen neuen "Wurm", der sich mit Hilfe von Clickjacking über Facebook verbreitete. Facebook-User wurden über die Nachricht

auf eine Seite gelockt, auf der eine gefälschte Fehlermeldung angezeigt wurde. Klickte das Opfer irgend wo hin, wurde die Nachricht auf seiner Wall veröffentlicht: Ein unsichtbarer iframe mit einem "publish"-Button klebte am Mauszeiger. Ein geradezu klassischer Fall von Clickjacking - Facebooks Clickjacking-Schutz zum Trotz.

Dieser Angriff endete, nachdem Hyppönen beim Hoster von fbhole.com angerufen hat: Die Seite wurde vom Netz genommen. Ob die Schwachstelle behoben wurde, ist nicht bekannt.

Vergesst Clickjacking, hier kommt "Likejacking"

Eine weitere "Schwachstelle" führte am letzten Mai-Wochenende zu einem weiteren Wurmausbruch: Beim Klick auf einen "Like"-Button wird ohne weitere Rückfrage o.Ä. eine Statusmeldung erzeugt. Das schreit geradezu nach einem Clickjacking-Angriff, und diese Schreie wurden erhört: Über Nachrichten wie

"LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE."
"This man takes a picture of himself EVERYDAY for 8 YEARS!!"
"The Prom Dress That Got This Girl Suspended From School."
"This Girl Has An Interesting Way Of Eating A Banana, Check It Out!"

wurden die Opfer auf eine anscheinend leere Seite gelockt, die nur die Aufforderung "Click here to continue" enthielt. Beim Klick wurde ein in einem unsichtbaren iframe versteckter "Like"-Button angeklickt und die entsprechende Nachricht im Namen des Opfers verbreitet. Richard Cohen von Sophos nennt diesen Angriff "Likejacking" und weist darauf hin, dass nur das für den "Like"-Button dokumentierte Verhalten ausgenutzt wird.

Ganz aktuell wird gerade eine weitere Sau durchs Dorf bzw. ein weiterer Wurm durch Facebook getrieben: Jetzt ist es der Text "Paramore n-a-k-ed photo leaked!", der per Clickjacking gemocht wird. Und "Justin Biebers Phone Number Leaked!" steht schon zur Ablösung bereit.

"Likejacking" oder "Buttonjacking"?

Das Problem von Facebooks "Like"-Button und allen anderen Schaltflächen etc., die auf einer Webseite eingebunden werden, um Aktionen im Kontext eines anderen Dienstes auszulösen: Sofern sie nur auf einen Klick warten und daraufhin sofort eine Aktion im Namen eines bei ihrem eigenen Dienst angemeldeten Benutzers auslösen, können sie sich nicht mit einem Framebuster vor Clickjacking schützen, da es ja gerade ihre Aufgabe ist, in einer anderen Seite eingebunden zu sein. Und auch serverseitige Schutzmöglichkeiten wie der "X-FRAME-OPTIONS"-Header lassen sich nicht anwenden. Sofern die Seite, die sie einbettet, nicht selbst gegen Clickjacking geschützt ist, sind sie ein leichtes Opfer eines solchen Angriffs. Die einzige Abwehrmöglichkeit: Nach dem Klick auf den Button wird wie bei Twitter die eigene, serverseitig geschützte Seite geöffnet, in der ein weiterer Klick notwendig ist. Alternativ kann auch eine erneute Authentifizierung des Benutzers oder das Lösen eines CAPTCHAs erzwungen werden. Die Frage ist nur, wie oft diese Buttons noch angeklickt werden, wenn es solche zusätzlichen Hürden gibt.

Um auf meine Antwort auf einen Tweet von robsblog zurück zu kommen: Flattr scheint von dem Problem nicht betroffen zu sein, anscheinend muss man sich dort jedes Mal anmelden bzw. die Aktion bestätigen, bevor wirklich etwas passiert. Testen kann ich es allerdings nicht, da ich nicht vorhabe, mich dort anzumelden. Facebooks "Like"-Button ist betroffen, auf einen Proof-of-Concept kann ich jetzt ja verzichten. In der nächsten Folge gibt es ein zwei praktische Beispiele für die Funktion von Clickjacking sowie Informationen über weitere mögliche Angriffe.

Carsten Eilers

Update 13.5.2015
Aus Anlass des 5jährigen Blog-Jubiläums habe ich alle Clickjacking-Artikel zusammengefasst, überarbeitet, ergänzt und auf den aktuellen Stand gebracht. Das Ergebnis ist ein (natürlich kostenloses) eBook im ePub- und PDF-Format: 5 Jahre Blog - Als Special: "Clickjacking"-eBook
Ende des Updates vom 13.5.2015

Übersicht über alle Artikel zum Thema

Clickjacking - Angriffe auf Seiten ohne Schwachstellen

Clickjacking - Auch komplizierte Aktionen sind möglich

Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe

Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"

Clickjacking - "Likejacking" unter die Haube geguckt

Clickjacking - The next Generation

Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten

Cookiejacking - Keksdiebe im Internet Explorer

Likejacking - Facebook im Visier der Cyberkriminellen

Clickjacking - Gute und Schlechte Nachrichten

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Neue Angriffe auf Webanwendungen über Clickjacking und Cookies

Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge

Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn

Clickjacking: "Zaubertricks" ermöglichen Likejacking und mehr

Dieses und Jenes zum Clickjacking

5 Jahre Blog - Als Special: "Clickjacking"-eBook