Dipl.-Inform. Carsten Eilers

Der Schädlingsbaukasten Zeus kann ziemlich viel. Seit Neuesten auch den X-Frame-Options-Header ausfiltern, bevor er den Browser erreicht. Das macht Zeus (noch) nicht selbst, sondern lädt einen weiteren, darauf spezialisierten Trojaner nach. Ob die Hintermänner damit nur anderen Cyberkriminellen einen (vielleicht sogar bezahlten?) Dienst erweisen oder ob Zeus selbst Clickjacking-Angriffe durchführen soll ist noch nicht bekannt. Da Zeus es vor allem auf das Onlinebanking abgesehen hat ist das auf jeden Fall eine unschöne Entwicklung.

Mehr Facebook-Likes dank Clickjacking

Gokul Giridhar hat im Januar 2014 JavaScript-Code veröffentlicht, der Facebook-Nutzern Likes verschafft - über Clickjacking. Das ist aber wohl nicht all zu empfehlenswert, denn Facebook wird das sehr wahrscheinlich nicht besonders witzig finden. Eben so wenig wie all die anderen Clickjacking/Likejacking-Angriffe. Zum Beispiel den folgenden:

Ein Beispiel für einen Clickjacking-Angriff auf Facebook

CSIS hat im Januar 2014 über eine interessante Clickjacking-Kampagne gegen Facebook berichtet. Die Opfer wurden mit dem Spruch "Find Who Will be Your Valentine in 2014" geködert, der sie auf eine Seite führte, auf der sie einer App den Zugriff auf ihr Facebook-Konto erlauben sollten. An dieser Stelle kam das Clickjacking zum Einsatz: Auch beim Klick auf "Annuller" (Abbrechen) wird der Installation zugestimmt, denn tatsächlich verbirgt sich hinter diesem Button ebenfalls der OK-Button. Die App sendet dann Spam an die Freunde des Opfers und kann dessen Daten ausspähen. Es scheint zwar weniger Likejacking-Würmer zu geben, das Clickjacking bleibt aber auch auf und damit für Facebook ein Problem.

Positive Nebenwirkungen des X-Frame-Options-Headers

Frederik Braun von Mozilla und Mario Heiderich von Cure53 haben im November 2013 ein Paper veröffentlicht, in dem sie die Verwendung des X-Frame-Options-Headers zur Abwehr weiterer Angriffe beschreiben: "X-Frame-Options: All about Clickjacking?" (PDF). Indem das Framing verboten wird werden außer Clickjacking noch eine Reihe weiterer auf die Nutzung von Frames angewiesene Angriffe verhindert.

Google Maps schießt Fotos

Eine Clickjacking-Schwachstelle in Google Maps hat Jitendra Jaiswal im November 2013 mit einem interessanten Proof of Concept demonstriert: Der Angreifer macht mit der Webcam des Opfers ein Foto und lädt es als neues Google-Profilfoto hoch. Außerdem kann der Status des Benutzers geändert werden.

Besonders interessant ist in diesem Zusammenhang der Zugriff auf die Webcam. Denn der erfolgt über den Flash Player, was ja eigentlich schon seit der ersten Bekanntmachung der Clickjacking-Angriffe 2008 nicht mehr möglich sein sollte. Und dann 2011 erneut behoben wurde. Wie man sieht, gibt es immer wieder neue Möglichkeiten für Clickjacking-Angriffe auf die Webcam. In diesem Fall über Googles Nutzung der Webcam zum Erstellen von Profil-Fotos.

Clickjacking erlaubt 'Private to Public'-Angriffe

Luca De Fulgentis hat im Dezember 2012 über eine (angebliche) Schwachstelle in Googles Chrome berichtet, über die sich der Benutzer ausspionieren und identifizieren lässt: Da Drag&Drop innerhalb einer Website möglich ist kann ein Angreifer über Clickjacking dafür sorgen, dass ein Benutzer eigentlich private Daten öffentlich macht. Dazu müssen diese Daten nur aus dem privaten Bereich in den öffentlichen Bereich verschoben werden.

Das setzt natürlich voraus, dass es auf der angegriffenen Website private und öffentliche Bereich gibt. Als Beispiel hat Luca De Fulgentis Amazon genutzt: Webseiten mit Benutzer-Daten waren weder durch einen Framebuster noch durch einen X-Frame-Options-Header vor dem framen geschützt, so dass ein Angreifer sie über Clickjacking angreifen konnte. Die privaten Daten stammten aus dem Profil des Benutzers, als Ziel diente Amazons Bewertungssystem. Über Clickjacking wurden dann die persönlichen Daten in eine Bewertung für einen ausgewählten Artikel kopiert und diese veröffentlicht. Der Angreifer muss dann nur die Bewertungen des verwendeten Artikels überwachen um die privaten Daten zu erhalten.

Das Konzept war bereits im Mai 2012 von Eric Y. Chen, Sergey Gorbaty, Astha Singhal und Collin Jackson auf dem IEEE Symposium on Security and Privacy 2012 vorgestellt worden ("Self-Exfiltration: The Dangers of Browser-Enforced Information Flow Control", PDF auf archive.org, die Original-Website ist nicht mehr erreichbar).

Der Angriff ist tatsächlich ein Problem, die Ursache aber keine Schwachstelle in Chrome (oder irgend einem anderen Browser). Jedenfalls nicht, so lange das Konzept von Drag&Drop und Same Origin Policy nicht geändert werden: Drag&Drop ist im Browser möglich, so lange die SOP eingehalten wird. Und die SOP erlaubt Drag&Drop innerhalb einer Origin. Hier gilt also mal wieder: It's not a Bug, it's a Feature.

Vor Clickjacking-Angriffen schützen auch die von Eric Y. Chen und seinen Partnern vorgeschlagenen Schutzmaßnahmen nicht, da der Angreifer völlig legitime Funktionen nutzt. Nur eben für den Benutzer unsichtbar in einem iframe auf seiner eigenen Seite. Der einzige Schutz ist der altbekannte X-Frame-Options-Header, mit dem das Einbinden der Seiten in Frames verhindert wird. Dann kann der Angreifer sie generell nicht über Clickjacking angreifen, und auch der 'Private to Public'-Angriff als Spezialfall ist nicht mehr möglich.

Zufällige UI-Änderungen verhindern Clickjacking

Brad Hill hat im Mai 2012 vorgeschlagen, zum Schutz vor Clickjacking zufällige Änderungen am Benutzerinterface der Websites vorzunehmen: "Adaptive User Interface Randomization as an Anti-Clickjacking Strategy", PDF. Die Idee dahinter: Wenn die Anordnung der Seitenelemente sich zufällig ändert, weiß der Angreifer nicht, wohin er die abgefangene Klicks lenken muss. Zusätzlich wertet der Server statistisch die empfangenen Klicks aus, um aus den Fehl-Klicks auf einen möglichen Angriff zu schließen.

Das Ganze hat nur einen Nachteil (abgesehen davon, dass es natürlich nicht überall einsetzbar ist und nicht immer funktioniert): Wie reagieren die Benutzer darauf, dass sich zum Beispiel der Bezahl-Button im Webshop mal rechts, mal links und mal in der Mitte befindet? Also für mich würde das irgendwie nach Phishing riechen - die Website wurde augenscheinlich schlecht nachgebaut. Und die Benutzer, die die Änderungen nicht stören, werden sich an die sich ändernden Websites gewöhnen, und dadurch haben es die Phisher dann leichter. Wenn ihre Phishing-Seite halbwegs echt aussieht sind die Benutzer zufrieden, die Abweichungen werden mit einem "Das verändert sich ja sowieso ständig" abgetan.

Damit sind die Updates zum Thema Clickjacking vorerst abgeschlossen. Das Thema der nächsten Woche steht noch nicht endgültig fest.

Carsten Eilers

Update 13.5.2015
Aus Anlass des 5jährigen Blog-Jubiläums habe ich alle Clickjacking-Artikel zusammengefasst, überarbeitet, ergänzt und auf den aktuellen Stand gebracht. Das Ergebnis ist ein (natürlich kostenloses) eBook im ePub- und PDF-Format: 5 Jahre Blog - Als Special: "Clickjacking"-eBook
Ende des Updates vom 13.5.2015

---

Übersicht über alle Artikel zum Thema

Clickjacking - Angriffe auf Seiten ohne Schwachstellen

Clickjacking - Auch komplizierte Aktionen sind möglich

Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe

Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"

Clickjacking - "Likejacking" unter die Haube geguckt

Clickjacking - The next Generation

Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten

Cookiejacking - Keksdiebe im Internet Explorer

Likejacking - Facebook im Visier der Cyberkriminellen

Clickjacking - Gute und Schlechte Nachrichten

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Neue Angriffe auf Webanwendungen über Clickjacking und Cookies

Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge

Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn

Clickjacking: "Zaubertricks" ermöglichen Likejacking und mehr

Dieses und Jenes zum Clickjacking

5 Jahre Blog - Als Special: "Clickjacking"-eBook