Peneliti keamanan Paulos Yibelo telah mengungkap kerentanan baru bernama "DoubleClickjacking" yang memanfaatkan urutan klik ganda untuk melakukan serangan clickjacking dan pengambilalihan akun di hampir semua situs web utama.
Teknik ini mengelabui pengguna untuk melakukan klik ganda pada elemen antarmuka yang tampak aman, sementara di latar belakang, situs penyerang mengarahkan ulang ke halaman berbahaya, seperti persetujuan aplikasi OAuth jahat. Metode ini berhasil melewati perlindungan clickjacking yang ada, termasuk header X-Frame-Options dan cookie SameSite.
Yibelo merekomendasikan pendekatan sisi klien yang menonaktifkan tombol kritis secara default kecuali terdeteksi gerakan mouse atau penekanan tombol, serta mendorong vendor browser untuk mengadopsi standar baru guna melindungi dari eksploitasi klik ganda.
Sumber:
https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html?&web_view=true
Teknik ini mengelabui pengguna untuk melakukan klik ganda pada elemen antarmuka yang tampak aman, sementara di latar belakang, situs penyerang mengarahkan ulang ke halaman berbahaya, seperti persetujuan aplikasi OAuth jahat. Metode ini berhasil melewati perlindungan clickjacking yang ada, termasuk header X-Frame-Options dan cookie SameSite.
Yibelo merekomendasikan pendekatan sisi klien yang menonaktifkan tombol kritis secara default kecuali terdeteksi gerakan mouse atau penekanan tombol, serta mendorong vendor browser untuk mengadopsi standar baru guna melindungi dari eksploitasi klik ganda.
Sumber:
https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html?&web_view=true