Bir siber güvenlik araştırmacısı, on bir büyük şifre yöneticisini etkileyen sıfır gün tıklama güvenlik açıklarını açıkladı ve potansiyel olarak on milyonlarca kullanıcıyı tek bir kötü niyetli tıklamayla kimlik doğrulama hırsızlığına maruz bıraktı.
Güvenlik uzmanı Marek Tóth tarafından yürütülen araştırma, saldırganların kredi kartı detaylarını, kişisel bilgileri, giriş bilgilerini ve hatta iki faktörlü kimlik doğrulama kodlarını şüphesiz kullanıcılardan çalmak için bu güvenlik açıklarından yararlanabileceğini ortaya koyuyor.
“DOM tabanlı uzantı tıklama” olarak adlandırılan yeni saldırı tekniği, geleneksel web tabanlı tıklama saldırılarından önemli bir evrimi temsil ediyor.
Görünmez IFRames aracılığıyla web uygulamalarını hedefleyen geleneksel yöntemlerin aksine, bu teknik, şifre yöneticisi uzantılarının web sayfası DOM yapılarına enjekte ettiği kullanıcı arayüzü öğelerini manipüle eder ve tıklanabilir kalırken görünmez hale getirir.
Saldırı, JavaScript manipülasyonu kullanarak, özellikle opaklık ayarlamaları ve DOM bindirme teknikleri ile uzatma kullanıcı arayüzü öğelerini gizleyen kötü amaçlı komut dosyaları oluşturarak çalışır.
Kullanıcılar, kurabiye onayı pankartları veya tehlikeye atılan web sitelerinde captcha zorlukları gibi meşru unsurlarla karşılaştığında, tek bir tıklama gizli formların depolanan hassas verilerle otomatik olarak doldurulmasını tetikleyebilir.
Kapsamlı testler yaygın güvenlik açığını ortaya çıkarır
Tóth’un kapsamlı araştırması, 1Password, Bitwarden, LastPass, Dashlane, Keeper ve diğerleri gibi endüstri liderleri de dahil olmak üzere on bir popüler şifre yöneticisini test etti.
Sonuçlar endişe vericiydi: Test edilen tüm şifre yöneticileri başlangıçta DOM tabanlı uzantı tıklama tekniğinin en az bir varyantına karşı savunmasızdı.
Güvenlik açıkları, Chrome Web Store, Firefox eklentileri ve Edge eklentileri platformlarında yaklaşık 40 milyon aktif kurulumu etkiler.
Test edilen dokuz şifre yöneticisinden altısı kredi kartı detay çıkarmaya karşı savunmasız iken, on kişiden sekizi depolanan kişisel bilgileri dışarı atmak için kullanılabilir.
Belki de en önemlisi, on bir şifre yöneticisinden on tanesi, iki faktörlü kimlik doğrulaması için kullanılan zamana dayalı tek seferlik şifre (TOTP) kodları da dahil olmak üzere kimlik bilgisi hırsızlığına duyarlıdır.
Nisan 2025’te sorumlu açıklamanın ardından, birkaç satıcı düzeltme uyguladı. Dashlane, Keeper, Nordpass, Protonpass ve Roboform, uzantılarını açıklanan saldırı yöntemlerine karşı başarıyla yamaladı.
Bununla birlikte, 1Password, Bitwarden, LastPass, iCloud şifreleri, Enpass ve Logmeonce dahil olmak üzere büyük oyuncular, Ağustos 2025 itibariyle hala risk altında olan yaklaşık 32,7 milyon aktif tesisi temsil eden savunmasız kalıyor.
Bu güvenlik açıklarının yaygın olarak kullanılan şifre yöneticilerinde kalıcılığı, tarayıcı uzantılarını sofistike müşteri tarafı saldırılarına karşı güvence altına almanın karmaşıklığını vurgulamaktadır.
X-çerçeve operasyonları veya içerik-güvenlik politikası gibi HTTP başlıkları aracılığıyla hafifletilebilen geleneksel tıklamaların aksine, DOM tabanlı saldırılar uzatma düzeyinde daha kapsamlı savunma önlemleri gerektirir.
Saldırı senaryoları ve gerçek dünyadaki etkisi
Araştırma, değişen seviyelerde sofistike olan birden fazla saldırı senaryosu göstermektedir. Saldırgan kontrolündeki bir web sitesinde, kötü amaçlı aktörler, meşru hizmetlerde mevcut güvenlik açıklarına ihtiyaç duymadan kredi kartı detaylarını ve kişisel bilgileri çalabilir.
https://www.youtube.com/watch?v=8hy0no_gli0
Daha da önemlisi, saldırganların güvenilir alanlarda kullanıcıları hedeflemek için siteler arası komut dosyası (XSS) güvenlik açıklarından veya alt alan devralmalarından yararlandığı alt alan saldırısı vektörüdür.
Şifre Yöneticileri genellikle yalnızca kaydedildikleri tam etki alanında değil, aynı zamanda tüm alt alanlarda da kimlik bilgilerini otomatikleştirir ve saldırı yüzeyini önemli ölçüde genişletir.
Bu, herhangi bir alt alanda XSS’yi bulan bir saldırganın, tıklama teknikleri aracılığıyla bir kullanıcının birincil hesap kimlik bilgilerini potansiyel olarak çalabileceği anlamına gelir.
Kapsamlı düzeltmeler uzatma geliştiricilerinden eylem gerektirse de, kullanıcılar birkaç koruyucu önlem uygulayabilir. Krom tabanlı tarayıcılar için, güvenlik uzmanları, otomatik erişim yerine uzantı sitesi erişimini “tıklama” a yapılandırmayı önererek kullanıcılara otomatik doldurma işlevselliği üzerinde manuel kontrol sağlar.
Araştırma ayrıca, birkaç satıcı açıklamayı takiben yamalar yayınladığı için, şifre yöneticisi uzantılarını güncel tutmanın önemini de vurgulamaktadır.
Kullanıcılar en son sürümleri çalıştırdıklarını doğrulamalı ve mevcutsa manuel otomatik doldurma özelliklerini devre dışı bırakmayı düşünmelidir, ancak bu kolaylığı azaltabilir.
Bu güvenlik açıklarının keşfi, web güvenlik tehditlerinin gelişen niteliğini ve tarayıcı uzantısı ekosistemlerinde sürekli güvenlik araştırması ihtiyacının altını çizmektedir.
Parola yöneticileri dijital güvenlik uygulamalarının giderek daha merkezi hale geldikçe, sofistike müşteri tarafı saldırılarına karşı esnekliklerinin milyonlarca kullanıcının hassas verilerini korumak için çok önemli hale gelmesi.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →