Bazen her şey çevrimiçi gibi görünebilir ve en son iyi şey kötü döndü: yardım etmeye çalışan veya kimliği doğrulamaya çalışan tarayıcı pop-up’ları, şifre yöneticinizden veri çalmak için programlanabilirsiniz. Daha da kötüsü, tarayıcı uzantısı tabanlı şifre yöneticilerinin çoğu saldırıya karşı savunmasızdır.
Bu sorun, 1Password, LastPass, Nordpass ve Enpass gibi şifre yöneticilerini etkiler. Tüm erişim kimlik bilgilerinizi şifreli bir kasada depolayan çevrimiçi hizmetlerdir ve ihtiyacınız olduğunda bu şifreleri otomatik olarak doldurmak için tarayıcı uzantılarını kullanırlar. Uzantıları kullandıkları için, bunları tarayıcınıza ayrı ayrı takmanız gerekir.
Bu uzantı tabanlı şifre yöneticileri, web tarayıcınıza bazı açılardan yerli olarak inşa edilenlerden daha güvenlidir. Tarayıcı tabanlı şifre yöneticileri, tarayıcı erişim bilgilerinizi kullanarak bilgileri şifreleme eğilimindedir. Kötü niyetli Infostealer yazılımı dosyaları çalabilir ve zaten oturum açtığınızda bunları kolayca çözebilir.
Tarayıcı Uzantısı Tabanlı Parola Yöneticileri Şifreli tonozları bellekte veya bilgisayarınızdaki diğer konumlarda saklar. Etkinlikten sonra otomatik olarak kilitlenirler ve işletim sistemi düzeyinde şifreleme kullanmak yerine ayrı bir ana şifre kullanırlar. Ancak faydaları olsa da, hiçbir şey tamamen güvenli değildir.
Clickjacking geri döndü
Bu ay DEFCON Güvenlik Konferansı’nda, siber güvenlik araştırmacısı Marek Tóth, tarayıcı uzantısı tabanlı şifre yöneticilerinin çoğunda çalışan bir saldırı sundu. Tarayıcıdaki sitenin yapısını manipüle etmek için kötü amaçlı kod kullanır, görünüş ve davranış biçimini değiştirir.
Güvenlik açığını vurgulamak için saldırıyı gösteren Tóth, bu özelliği Clickjacking adlı eski bir saldırının yeni bir versiyonu için kullandı. Bir kurbanı bir web sayfasındaki bir şeyi tıklamaya ikna eder, ancak bu eylemi başka bir şey tıklamak için kullanır.
Sitenin yapısı ile uğraşmak, bazı şeyleri görünmez hale getirmesini sağladı. Bunlardan biri, uzantıya dayalı şifre yöneticilerinin hesap giriş bilgilerini seçmek ve doldurmak için kullandıkları bir açılır seçicidir.
Bu hileyi, ekranda meşru görünüşte tıklanabilir bir öğenin üstüne görünmez bir bindirme koymak için kullandı. Kullanıcı tıkladığında, aslında parola yöneticilerinin açılır seçicisi olan kaplamaya tıklarlar.
Sonuç: Şifre Yöneticisi, bilgisi olmadan kurbanın sırlarını bırakıyor.
Neleri tıkladığınız hakkında iki kez düşünün
Bir tuzak açılır pencere nasıl olurdu? Bu günlerde, AB’nin düzenlemeleri sayesinde, web siteleri genellikle çerezleri kullanma konusunda iyi olup olmadığınızı soran izin pankartları atar. Çoğumuz sadece ‘Evet’e tıkladık, ancak neyi tıklarsanız tıklayın, böyle bir saldırı sizi riske atabilir. Veya bir saldırgan bir kimlik doğrulama düğmesi kullanabilir veya “Bu içerik hassastır, gerçekten görmek istiyorsanız Evet’i tıklayın” düğmesi. Ya da, son yaş doğrulaması için son zamanlarda, “Gerçekten 18 misin?” düğme.
Bu saldırı, oturum açma kimlik bilgilerinizden daha fazlasını çalabilir. Ayrıca şifre yöneticilerinde depolanan diğer bilgileri kredi kartı bilgileri, adınız ve telefon numarası gibi kişisel veriler, passeyler (bilgisayarınızın şifreler yerine kullanabileceği dijital sertifikalar) ve zamana dayalı tek seferlik şifreler (TOTP) dahil olmak üzere oynatabilir. İkincisi, Google Authenticator gibi kimlik doğrulama uygulamalarını kullandıktan sonra bilgisayarınızın aldığı oturum açma belirteçleridir.
Tóth bunu sadece maviden serbest bırakmadı. Önceden şifre yöneticisi şirketlerine açıkladı, ancak birçoğu sadece kısmen hitap etti ve bazıları hiç değil.
Tóth’a göre, bu haftanın başlarında Dashlane, Keeper, Nordpass, Protonpass ve Roboform sorunu çözmüştü. Bitwarden, Enpass ve Apple (bir iCloud şifre yöneticisi kullanan), düzeltme ilerlemesindeydi. 1Password bunu ‘bilgilendirici’ olarak sınıflandırmıştı, ancak henüz düzeltmemişti. LastPass, kişisel ve kredi kartı verileri için güvenlik açığını düzeltmişti, ancak giriş kimlik bilgileri, passeyler veya TOTP verileri için güvenlik açığını henüz düzeltmemişti. Logmeonce hiç cevap vermemişti.
Kendinizi Koru
Peki, bu tehdit hakkında ne yapabilirsiniz? Tóth, otomatik güncellemelerin etkinleştirilmesi ve şifre yöneticisi ürünlerinin en son sürümlerini kullandığınızdan emin olma konusunda olağan uyarılar sağlar. En güvenli koruma, şifre yöneticilerinin kullanıcı müdahalesi olmadan web formu alanlarını doldurmasına izin veren otomatik doldurma özelliğini devre dışı bırakmaktır. Bunun yerine, ayrıntılarınızı manuel olarak kopyalayıp yapıştırmanız gerekir.
Başka bir daha uygun seçenek, otomatik doldurmayı kontrol etmektir, böylece yalnızca araç çubuğunuzdaki tarayıcı uzantısını özel olarak tıkladığınızda çalışır. Edge ve Google Chrome gibi krom tarayıcılarında bu, uzantı ayarlarınıza girmek, “site erişimi” seçmek ve ardından “Click” seçeneğini seçmek anlamına gelir. Bunu seçmek, Tóth’un tanımladığı şekilde kimlik bilgilerinizi çalmayı kötü amaçlı kodun durdurulmasını durdurur.
Ve her zaman olduğu gibi, herhangi bir web sitesinde, özellikle de daha az güvenilir olanlarda neleri tıkladığınızı iki kez düşünün.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.