Araştırmacılar, kurbanların tarayıcıları üzerinde tam yetkiye izin vermek için Opera’daki “özel” uygulama programlama arayüzlerini (API’ler) tehlikeye atan yeni bir tarayıcı saldırısını ortaya çıkardı.
Tarayıcı API’leri, güvenlik, depolama, performans optimizasyonu, coğrafi konum ve daha fazlasıyla ilgili olanlar da dahil olmak üzere Web uygulamaları ile tarayıcı işlevleri arasında bir köprü oluşturarak ziyaret ettiğiniz web sitelerinin daha iyi, daha güçlü özellikler ve deneyimler sunmasını sağlar. Çoğu tarayıcı API’si kamuya açıktır, herkes tarafından kullanılabilir ve titizlikle incelenir.
Ancak şirketlerin şöyle bir alışkanlığı var: kendi tercih ettikleri uygulama ve sitelere özel izinler vermek. Örneğin Opera tarayıcısı, Instagram, Atlassian ve Rusya’nın Yandex ve VK’si gibi tercih edilen çeşitli üçüncü taraf alan adlarının yanı sıra kendi dahili geliştirme alanları ve üretim aşamasında herkesin erişebildiği alanlar için “özel” API’ler kaydeder. tarayıcının sürümü.
Bu özel API’ler geliştiriciler için yararlı olabilir, ancak Guardio’dan araştırmacılar, bilgisayar korsanlarının da bunlara nasıl erişebileceğini göstererek siber saldırganlara bir tarayıcıdan hayal edilebilecek bir dizi güç sağlıyor: ayarları değiştirme, hesapları ele geçirme, güvenlik uzantılarını devre dışı bırakma, daha fazla kötü amaçlı uzantı ekleme ve Daha. Bunu “CrossBarking” adını verdikleri köpek temalı bir kavram kanıtlama saldırısıyla yaptılar.
‘CrossBarking’ Opera Tarayıcı Saldırısı
Amacı “Çapraz Havlama“, bu güçlü, özel API’lere erişimi olan siteler bağlamında kötü amaçlı kod çalıştırmaktır. Bunu yapmak için, örneğin, siteler arası komut dosyası çalıştırma (XSS) güvenlik açığından yararlanılabilir. Veya daha da kolayı, kötü amaçlı bir tarayıcı kullanılabilir. eklenti.
Kötü amaçlı bir uzantıyı Opera’ya yüklemek hiç de küçük bir başarı değil. Pek çok geliştirici, bunun nasıl yapıldığı konusunda şikayette bulundu. uzatılmış manuel inceleme süreci aylar hatta hatta aylar sürebilir yıllar bazı durumlarda. Bunun iyi tarafı, Opera’nın 350 milyon aktif kullanıcısının sahip olduğu rahatlık, tarayıcılarına ekledikleri uzantıların iyi ve kapsamlı bir şekilde incelenmiş olmasıdır.
Ancak Opera’nın kullanıcılarının indirmesine izin verdiği Chrome uzantıları için durum pek geçerli değil. Chrome eklentileri büyük ölçüde otomatikleştirilmiş bir inceleme sürecinden geçer ve onaya gönderildikten birkaç saat veya birkaç gün sonra yayına girebilir.
Bu nedenle, ayrıcalıklı Opera sitelerinden yararlanmak için Guardio araştırmacıları Opera değil, bir Chrome uzantısı geliştirdi. Bunu, web sayfalarına yavru köpeklerin resimlerini eklemek için tasarladılar (herhangi bir sitede komut dosyaları çalıştırmak için bir kılık) ve Chrome mağazasında onaylanacak kadar kötü niyetli olduğunu ortaya koydular. Köpek yavrusu seven bir Opera kullanıcısı, uzantıyı benimseyip özel API erişimi olan bir siteyi ziyaret ederse, kötü amaçlı kod çalıştırmak ve bu özel API’lerin sağladığı tüm güçlere erişim sağlamak için doğrudan komut dosyası enjeksiyon saldırısı gerçekleştirecektir.
CrossBarking’in sağladığı gücün tamamını göstermek için Guardio araştırmacıları, mevcut tarayıcı ayarlarının okunmasına ve düzenlenmesine olanak tanıyan ‘settingsPrivate’ API’sini hedef aldı. Varsayımsal bir kurbanın Etki Alanı Adı Sistemi (DNS) ayarlarını değiştirmek için settingsPrivate’i kullandılar ve tüm tarayıcı etkinliklerini kötü amaçlı bir DNS sunucusu üzerinden yönlendirdiler. Buradan araştırmacılar, kurbanın göz atma etkinliğinin yanı sıra web sayfalarının içeriğini değiştirme veya kurbanı kötü amaçlı sayfalara yönlendirme becerisine de tam olarak sahip oldu.
Guardio Labs başkanı Nati Tal, “Neredeyse tüm tarayıcının ve onu barındıran bilgisayarın kontrolünü ele geçirebiliyordunuz” diye açıklıyor. Her ne kadar PoC’si belirli bir tarayıcı ayarını değiştirmeye odaklanmış olsa da “aynı şekilde diğer ayarları da değiştirebilirsiniz. Hacklenecek çok daha fazla API var — [we didn’t] tüm olasılıkları kontrol etmek için yeterli zamanımız var.”
Tarayıcı API’lerinde Güvenlik ve İşlevsellik
İşlevsellik ve güvenlik arasındaki ebedi mücadelede, tarayıcı geliştiricileri, kendilerine sıradanların sağladığının ötesinde güçler sağlayan özel API’lerden kolayca ayrılmayacaklardır. Bu Opera ve diğer tarayıcılar için de geçerlidir. Mayıs ayında Guardio, benzer olmayan bir sorun keşfetti pazarlama için kullanılan özel bir API başka bir Chromium tarayıcısı olan Microsoft Edge’de.
CrossBarking sorununu çözmek için Opera, özel API’lerini veya Chrome uzantısının çapraz uyumluluğunu ortadan kaldırmadı. Ancak 24 Eylül’de Chrome’da zaten uygulanan bir çeşit yara bandı çözümü benimsendi: herhangi bir uzantının, özel API erişimi olan alanlarda komut dosyası çalıştırma yeteneği engellendi.
“Chromium’un altyapısı [such that] Satıcıların güvenliklerini kontrol altına almaları ve olası tüm saldırı vektörlerini düşünmeleri gerekiyor. Pek çok olası vektör var” diye bitiriyor Tal.
Şöyle ekliyor: “Bu durumda yine onların ellerinde bile değildi [app store]. Opera, Chrome Store’dan sorumlu değil ancak oradan uzantılara izin veriyorlar, bu yüzden bunu da düşünmeleri gerekiyor. [They have to see] Tehdide ayak uydurmak için yalnızca bu güvenlik açığını değil, tüm ekosistemi.”