شکارچیان تهدید یک «کلاس آسیبپذیری مبتنی بر زمانبندی گسترده» جدید را فاش کردهاند که از توالی دوبار کلیک برای تسهیل حملات clickjacking و تصاحب حسابها تقریباً در همه وبسایتهای اصلی استفاده میکند.
این تکنیک که با نام DoubleClickjacking شناخته شده است، به جای تکیه بر یک کلیک، از یک دنباله دبل کلیک استفاده میکند. اگرچه ممکن است تغییر کوچکی به نظر برسد، اما دریچهای را برای حملات جدید دستکاری رابط کاربری باز میکند که تمام محافظتهای شناخته شده مربوط به Clickjacking از جمله X-Frame-Options header یا یک کوکی SameSite: Lax/Strict را دور میزند.
Clickjacking (یا UI redressing)، تکنیک حملهای است که در آن کاربران فریب داده میشوند تا روی یک عنصر به ظاهر بیخطر (مانند یک گزینه برای دریافت جایزه یا مشاهده یک تصویر) در صفحه وب کلیک کنند که منجر به استقرار بدافزار یا استخراج دادههای حساس میشود. DoubleClickjacking نیز گونهای از این تم است که از زمانبندی دوبار کلیک ماوس (وقفه بین شروع کلیک و پایان کلیک دوم) جهت انجام اقدامات حساس مانند دور زدن کنترلهای امنیتی و تصاحب حسابها با حداقل تعامل استفاده میکند.
https://www.bleepingcomputer.com/news/security/new-doubleclickjacking-attack-exploits-double-clicks-to-hijack-accounts
https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html
