Bidi Swap olarak bilinen on yıllık bir Unicode güvenlik açığı, saldırganların sofistike kimlik avı saldırıları için URL’leri taklit etmelerini sağlar.
Tarayıcıların karışık sağdan sola (RTL) ve soldan sağa (LTR) dil komut dosyalarını nasıl oluşturduğunu kullanarak, tehdit aktörleri meşru görünen ancak kullanıcıları kötü amaçlı sitelere gizlice yönlendiren URL’ler oluşturabilirler.
Bidi takas saldırısı, uzun zamandır web güvenliği için bir endişe kaynağı olan önceki Unicode manipülasyon yöntemlerine dayanmaktadır.
Geçmişte, saldırganlar, Latin mektuplarıyla neredeyse aynı görünen ve popüler web sitelerinin ikna edici parodi oluşturan Latin olmayan karakterlerle alan adlarını kaydetmek için punycode homograf saldırıları kullandılar.
Bir başka yaygın teknik de, metin yönünü tersine çevirmek için özel Unicode karakterlerinin bir dosya adına veya URL’ye gömüldüğü RTL geçersiz kılma istismarıydı.
Bu, kötü amaçlı yürütülebilir bir dosyanın zararsız bir belge olarak görünmesini sağlayabilir ve kullanıcıları çalıştırmaya kandırır.
Bu önceki saldırılar, metin oluşturma işlemindeki ince kusurların kötü niyetli amaçlar için nasıl kullanılabileceğini göstererek, tarayıcıların web adreslerini nasıl gösterdiğinin temel mantığını kötüye kullanan bidi takas gibi daha gelişmiş tekniklerin yolunu açtı.
Bidi takas saldırısı nasıl çalışır
Web tarayıcıları, hem İngilizce gibi LTR komut dosyalarını ve Arapça veya İbranice gibi RTL komut dosyalarını içeren metni doğru şekilde görüntülemek için Unicode çift yönlü (bidi) algoritmasına güvenir.
Bununla birlikte, Varonis tehdit laboratuvarlarından yapılan araştırmalar, bu algoritmanın, alt alanlar ve parametreler boyunca komut dosyalarını karıştıran URL’leri işlerken kritik bir zayıflığa sahip olduğunu göstermektedir.
Bir saldırgan, meşru görünümlü bir LTR alt alanına sahip bir URL hazırlayarak bunu kullanabilir (örn., paypal.com) ve ardından belirsiz bir RTL alanı.
Tarayıcının kusurlu oluşturulması nedeniyle, meşru alt alan, adres çubuğundaki birincil alan olarak görüntülenir ve gerçek, kötü niyetli hedefi görsel olarak maskeler.
Bu, tarayıcıları aslında saldırgan kontrollü bir sunucuya giderken güvenilir bir sitede olduklarına inanan kullanıcıyı karıştırarak kimlik avı ve veri hırsızlığına karşı savunmasız hale getirir.
Tarayıcı geliştiricilerinden bu uzun süredir devam eden konuya verilen yanıt tutarsızdı. Google Chrome, “benzeyen bir URL” önerisi özelliği sunar, ancak yalnızca sınırlı sayıda iyi bilinen alan adını işaret eder ve diğerlerini açık bırakır.
Mozilla Firefox, adres çubuğundaki alan adının temel kısmını görsel olarak vurgulayarak daha iyi bir yaklaşım benimser, bu da kullanıcıların potansiyel parodi daha kolay tespit etmesine yardımcı olur.
Microsoft sorunu kenar tarayıcısında çözüldüğü gibi işaretlerken, araştırmacılar URL gösteriminde altta yatan güvenlik açığının kaldığını belirtiyor.
Güvende kalmak için kullanıcılar bir şüphe alışkanlığı geliştirmelidir. Tıklamadan önce gerçek hedeflerini incelemek için her zaman bağlantıların üzerine gelin, bir sitenin SSL sertifikasını dikkatlice doğrulayın ve farklı dil komut dosyalarını karıştırdığı veya olağandışı biçimlendirme içeren herhangi bir URL’ye karşı dikkatli olun.
Nihayetinde, bu aldatıcı tehdidi etkisiz hale getirmek için gelişmiş kullanıcı farkındalığı ve geliştirilmiş tarayıcı düzeyinde savunmalar gereklidir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.