Clickjacking

2008년 9월 12일에 Robert Hansen(SecTheory)와 Jeremiah Grossman(White Security)이 Clickjacking을 발표하면서 알려지게 되었으며 Clickjacking이라는 말은 마우스의 클릭(Click)과 하이잭킹(Hijacking)의 합성어이다.

위에서 언급한 바와 같이 2008년에 후반기에 발표되었으며 연관된 기술인 CSRF와 XSS를 함께 현재 사람들에게 많이 알려지고 있는 기술이다.

Google Trend 조회결과

외국의 한 연구자가 블로그에 '클릭재킹' 공격이 어떻게 이루어지는 지를 동영상으로 시연 자료를 발표하였는데 클릭을 몇 번에 본인도 모르게 자신의 컴퓨터에 연결된 웹캠으로 동영상이 촬영되는 상황이 벌어졌다. 이 것은 어도비(Adobe)사의 플래시 플레이어 설정 매니저를 대상으로 공격을 해서 가능했다.

           

0x01 Clickjacking 이란?

웹사이트에서 이용자의 클릭을 훔쳐 엉뚱한 곳에 클릭하게 만드는 ‘클릭재킹(clickjacking: 클릭납치)’이라는 새로운 취약점이 발견됐다. US-CERT가 공식 사이트에서 보고한 바에 따르면 주요 웹브라우저 대부분이 영향을 받는다.

이 취약성에 노출되면 이용자는 자신이 보고 있는 웹페이지의 콘텐츠를 클릭한다고 생각하지만 실제로는 다른 웹페이지의 콘텐츠를 클릭하게 된다. 즉 전혀 눈치채지 못하고 위험할 수도 있는 엉뚱한 버튼이나 링크를 클릭하게 되는 것이다.

이 취약성은 인터넷익스플로러(IE), 파이어폭스, 사파리, 오페라 등의 주요 웹브라우저와 어도비플래시에까지 영향을 끼친다고 한다.

Clickjacking은 Cross-Site Scripting 취약점의 변형된 형태중의 하라나로 사용자가 스크립트를 삽입을 할 수 있기에 발생하는 취약점이다.  2008년 12월 WhiteHat Security에서 발표한 자료에 의하면 Top 10 해킹의 67%가 Cross-Site Scripting에 해당되는 것으로볼때 Clickjacking도 다른 취약점과 혼용되어 위협의 소지가 매우 높다.

Top 10 vulnerability classes(WhiteHat Security 2008.12)

※ 참조 SITE :
http://www.whitehatsec.com/home/assets/WPstats1208.pdf

0x02 Clickjacking 패해 가능성?

현재까지 클릭재킹 피해 사례는 해커들에게 많이 사용되고 있지 않아서 알려진 것은 없으나 사용자가 어떤 사이트를 클릭했을 때, 그 클릭을 가로채서 피싱, 악성코드 배포 및 음란 사이트로 등으로 이동이 가능하다.

또한 Robert Hansen(SecTheory)에 의하면 피해자 PC에 몰래 연결해 온라인 주식거래를 하거나, 블로그 게시물을 지우고, 라우터나 방화벽 설정을 변경하고 새로운 웹 메일 계정을 만들고 소프트웨어를 다운로드 하도록 할 수 있다고 한다.

또한 위에서 동영상 시연을 했었던 연구자는 이 취약점을 이용해서 웹 브라우저를 '감시 좀비'로 만들어 버릴 수 있다고 주장했다.

예상되는 공격 사례

초기에는 타 취약점과 연계되는 방식으로 사이트 이동 형태가 주류를 이룰 것으로 예상되며 해당 취약점에 대해 다양한 연구가 이뤄진 다음에는 로버트 핸슨의 예시처럼 다양한 공격이 가능하리라 예상된다.



0x03 Clickjacking 예시

→ Onmousedown Event를 이용한 방법

onmouse_event.html

<html>
    <body>
        <a href="http://www.google.co.kr" 
               onmousemove="window.status= 'http://www.naver.com';"
               onmouseout="window.status='완료';">click</a>
    </body>
</html>

→ IFRAME을 이용한 방법

아래의 시연 Demo를 참고

 

※ ClickJacking 간단한 Demo
http://www.planb-security.net/notclickjacking/iframetrick.html
http://www.metasecurity.org/securityplus/2008/clickjackdemo.html#really

0x04 Exploit

01. [2009.01.21] Firefox 3.0.5 Status Bar Obfuscation / Clickjacking
02. [2009.01.28] Google Chrome 1.0.154.43 ClickJacking Vulnerability
03. [2009.01.29] Internet Explorer 7 ClickJacking Vlunerability



0x05 대응방안

웹브라우저의 스크립트 기능과 플러그인을 무효로 하면 어느 정도 방어에 효과가 있는 것으로 알려져 있습니다. 디폴트로 IFRAME의 기능을 무효로 하고, 파이어폭스 이용자의 경우는 노스크립트(NoScript) 플러그인을 이용해도 도움이 된다.

하지면 현재 국내의 환경은 대부분 ActiveX와 Javascript 및 iframe등을 사용하고 있는 점을 고려할때 국내에서는 대응방안으로서 현실성이 매우 떨어진다.

※ 참조 SITE :
01. Original paper on Clikcjacking
02. The Clickjacking meets XSS: a state of art
03. [ZDNet] 웹서핑시 클릭도 춤쳐간다.... '클랙재킹' 출현
04. [Ahnlab] 클릭재킹-나의 클릭을 다른 누군가 가로챈다.