„Clickjacking“ setzt sich zusammen aus den Worten „click“ wie Mausklick, und „hijacking“, was in der englischen Sprache „entführen“ bedeutet. Genau das machen virtuelle Trickbetrüger: Sie führen die Mausklicks ahnungsloser Webseitenbesucher:innen dorthin, wo sie sie haben wollen. Dies kann sowohl ein „Like“ auf einer fremden Social-Media-Seite sein, als auch die unwissentliche Zustimmung, Programme herunterzuladen, vertrauliche Informationen preiszugeben oder Produkte online zu kaufen. Das gelingt, weil Hacker:innen die auf dem Bildschirm von Nutzer:innen angezeigte Webseiten-Oberfläche mit einer zusätzlichen unsichtbaren Ebene überlagern, erklärt CISPA-Faculty Dr. Ben Stock, auf dessen Forschungsarbeit der Demonstrator basiert. Während die User:innen glauben, auf einen Button zu klicken, der sie zu einem Gewinnspiel oder einer Umfrage leitet, schließen sie in Wahrheit mit ihrem Klick zum Beispiel einen Kauf ab und senden den Angreifer:innen Geld.
Dass solche Angriffe erfolgreich sein können, hat etwas mit dem Aufbau des Webs zu tun. Moderne Webseiten enthalten meist Code von verschiedenen Stellen. In Form von Werbung, Karten oder Bezahldiensten werden fast immer auch Inhalte Dritter eingebunden, sagt Stock. Um Nutzer:innen die Webseite samt allen Diensten anzeigen zu können, muss der Browser deshalb zunächst Informationen von verschiedenen Webservern zusammentragen.
Die Art und Weise, wie Inhalte auf Webseiten eingebettet werden dürfen, muss laut Stock genau kontrolliert werden. Sonst drohten Clickjacking-Angriffe. „Diese können verhindert werden, indem Seitenbetreiber:innen und -entwickler:innen zwei spezielle Sicherheitsmechanismen einbauen, die das unkontrollierte Einbetten ihrer Seiten kontrollieren: X-Frame-Options (XFO) und Content Security Policy (CSP)." Doch nur wenn die Sicherheitsmechanismen auch richtig konfiguriert sind und überdies der Browser – dem letztlich die Kontrolle obliegt – entsprechend handelt, sind Webseiten gegen die Angriffe sicher.
Der CISPA-Demonstrator Dr. Headerson stützt sich auf die Forschungsarbeit „A Tale of Two Headers: A Formal Analysis of Inconsistent Clickjacking Protection on the Web“ von Stefano Calzavara und Alvise Rabitti von der Università Ca’ Foscari in Venedig sowie den CISPA-Forschern Sebastian Roth, Dr. Ben Stock und Prof. Dr. Dr. h.c. Michael Backes. Das Scientific-Engineering-Team des CISPA hat mit dem Demonstrator ihre Forschung in ein Sicherheitstool transferiert, welches sie für Webseitenentwickler:innen, ebenso wie für Browseranbieter:innen und Enduser:innen einsetzbar macht.
https://dr.headerson.cispa.de/
