© DrHitch/Shutterstock.com
Angriffsziel UI

3 UI-Redressing aka Clickjacking


Clickjacking ist inzwischen sechs Jahre alt – und es gibt immer wieder neue Varianten und Angriffsmöglichkeiten. Inzwischen sogar ohne den Einsatz unsichtbarer iframes.

Clickjacking wurde 2008 von Jeremiah Grossman und Robert „RSnake“ Hansen erstmals beschrieben. Die Veröffentlichung war etwas turbulent [1]: Erst wurde die Veröffentlichung für eine Konferenz angekündigt, dann der Vortrag zurückgezogen, weil ein betroffener Hersteller noch Zeit brauchte, um den Angriff abzuwehren. Woraufhin nach kurzer Zeit ein Dritter aufgrund bekannter Informationsfetzen einen PoC veröffentlichte und der Hersteller plötzlich sofort eine Gegenmaßnahme bereit hatte.

Was ist Clickjacking?

Beim Clickjacking lockt der Angreifer einen Benutzer auf eine Webseite unter seiner Kontrolle und lässt ihn einen oder mehrere Klicks machen. Bei einem einzelnen Klick kann das einfach eine Aufforderung sein, einen Link oder Button anzuklicken. Mehrere Klicks können zum Beispiel erreicht werden, indem der Benutzer dazu gebracht wird, ein Spiel zu spielen.

Außer den sichtbaren Inhalten gibt es auf dieser Seite noch einen unsichtbaren iframe, in dem der Angreifer eine Seite einer anderen Website geladen hat. Das kann, muss aber nicht zwingend (s. u.) eine Website sein, bei der das Opfer angemeldet ist. Dieser iframe hängt am Mauszeiger, und ein oder mehrere Klicks werden auf die unsichtbare Seite im iframe umgeleitet, indem der iframe vor die dargestellte Seite gelegt wird. Im iframe lösen die Klicks dann eine Aktion im Namen des Benutzers aus.

Likejacking

Ein bekanntes Beispiel für Clickjacking-Angriffe „in the wild“ sind Angriffe auf Facebooks Like-Button, für die sogar ein eigener Name geschaffen wurde: Likejacking [2]. Ein Facebook-Benutzer wird auf eine Seite gelockt, auf der er irgendetwas anklickt. Der Klick wird auf einen unsichtbaren Like-Button geleitet, sodass er diese Seite „liked“. Sehen die Freunde des Opfers nach, was dem denn da gefallen hat, landen sie ebenfalls auf der Seite des Angreifers, „liken“ unbewusst und führen den Angreifern weitere Opfer zu. Während die ersten Likejacking-Angriffe sich damit zufriedengaben, sich selbst zu verbreiten, kam es später auch zu weiteren Angriffen, wie zum Beispiel Klickbetrug oder der Installation von Schadsoftware.

So verhindern Sie Clickjacking

Die Abwehr von Clickjacking-Angriffen ist recht einfach: Wenn eine Seite nicht in einem Frame dargestellt werden kann, ist kein Clickjacking möglich. Der erste Schutz bestand daher in JavaSc...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang