Yeni keşfedilen bir teknik, DOM tabanlı uzantı tıklama, tarayıcı tabanlı şifre yöneticilerinin güvenliği konusunda ciddi endişeler yarattı. Giriş kimlik bilgileri, kredi kartı verileri ve TOTP kodları (zamana dayalı bir kerelik şifreler) gibi hassas bilgilerin korunmasındaki rollerine rağmen, bu saldırı tek bir aldatıcı tıklamanın toplam veri uzlaşmasına nasıl yol açabileceğini gösterir.
DOM temelli uzantı tıklama tıklatma
Güvenlik araştırmacısı Marek Tóth, Ağustos ayında Def Con 33’te DOM temelli uzantı tıklamasını açıkladı. Tóth, kötü niyetli web sitelerinin bu uzantılar tarafından enjekte edilen belge nesne modeli (DOM) öğelerini manipüle ederek şifre yöneticisi tarayıcı uzantılarını nasıl kullanabileceğini gösterdi.
Temel fikir, meşru otomatik doldurma arayüzlerini CSS özellikleri aracılığıyla gizlemeyi içerir. Opaklık: 0 veya bunları ekran dışı konumlandırır. Ardından, saldırganlar, kullanıcıları zararsız unsurlar gibi görünen şeyleri tıklamaya yönlendirmek için kurabiye afişleri veya modal pencereler gibi sahte kullanıcı arayüzlerini kaplar.
Görünüşte zararsız bu etkileşimler, şifre yöneticilerinin gizli otomatik doldurma mekanizmalarını tetikleyebilir. Sonuç olarak, kullanıcı adları, şifreler, kredi kartı ayrıntıları ve hatta TOTP kodları gibi hassas veriler, kullanıcının farkındalığı olmadan saldırganlar tarafından yakalanabilir ve söndürülebilir.
Kapsam ve etki
Saldırı, en çok kullanılan şifre yöneticisi uzantılarından 11’inde test edildi:
- Kimlik hırsızlığı 11 yöneticinin 10’unda başarılı oldu.
- CVV numaraları dahil kredi kartı verileri, test edilen 9’dan 6’sında çıkarılabilir.
- 10 üzerinden 8’de kişisel veri eksfiltrasyonu mümkün olmuştur.
- Passkey kimlik doğrulaması 11 üzerinden 8’de tehlikeye atıldı.
Bu, büyük tarayıcı mağazalarından uzatma indirme verilerine dayanarak dünya çapında yaklaşık 40 milyon kullanıcı için potansiyel bir risk anlamına gelir. Saldırı sadece krom bazlı tarayıcıları değil, aynı zamanda diğer motorları çalıştıranları da etkiler.
Mekanik sömürüsü
Saldırı birkaç aşamadan oluşur:
- Kullanıcı etkileşimi kaçırma: Saldırgan, etkileşimi teşvik etmek için tasarlanmış bir çerez rızası formu gibi kullanıcıya sahte bir kullanıcı arayüzü kaplaması sunar.
- Boya Korumalarını Boyun: Saldırgan setleri Pointer-olaylar: yok Overlayda, tıklamaların parola yöneticisinden temel otomatik doldurma öğelerine geçmesine izin verir.
- Sahte form enjeksiyonu: Otomatik tamamlanmış etkin giriş alanları tam olarak imlecin altına yerleştirilmiştir. Bir JavaScript işlevi, otomatik olarak yapılan verileri kullanarak değişmek Olaylar veya tarayıcı konsolu günlüğü.
- Fare izleme: JavaScript, sahte form alanlarının kullanıcı etkileşimleriyle mükemmel bir şekilde hizalanmasını sağlamak için fare konumunu dinamik olarak izler ve istismarın doğruluğunu daha da artırır.
Bazı test durumlarında, giriş bilgileri ve kişisel veriler sadece iki kullanıcı tıklamasıyla çalındı. Saldırı özellikle tehlikelidir, çünkü etki alanı kısıtlamalarını atlayabilir. Örneğin, büyük bir hizmetin alt alanında bir güvenlik açığı varsa, o hizmetin ana giriş alanından kimlik bilgilerini çalmak için kullanılabilir.
Passeyler genellikle etki alanı bağlanması nedeniyle daha güvenli kabul edilirken, Tóth, SK Telecom, Hanko ve AuthSignal’den olanlar gibi çeşitli uygulamaların aynı yöntemle ele geçirilebileceğini buldu. Oturuma bağlı zorluklardan yoksun sistemlerde, saldırganlar giriş sürecinde imzalı iddiaları yönlendirebilir veya kesebilir.
Satıcı yanıtları
Sorumlu takip Nisan 2025’te açıklama, birkaç VENdors Yasalar yayınladı:
- Sabit: Dashlane, North Pass, kaleci, protonpass, roboform
- Hala savunmasız (Ağustos 2025 itibariyle): 1Password, Bitwarden, Enpass, Icloud Parolaları, LastPass, Logmeonce
Bitwarden, Enpass ve iCloud şifrelerinin düzeltmeler üzerinde çalıştığı bildiriliyor. Bununla birlikte, hem 1Password hem de LastPass, güvenlik açığını “bilgilendirici” olarak sınıflandırmıştır, bu da onu yüksek öncelikli bir sorun olarak görmediklerini öne sürmüştür.
DOM tabanlı uzantı tıklama riskini azaltmak için kullanıcılar otomatik doldurmayı devre dışı bırakmalı, “tıklama” ile uzatma erişimini sınırlamalı ve bağımsız şifre yöneticilerini göz önünde bulundurmalıdır. Geliştiriciler, henüz evrensel bir düzeltme olmasa da, kapalı gölge DOM’lar ve mutasyon gözlemcileri gibi koruma uygulamalıdır. Kimlik bilgilerinin, kredi kartlarının ve TOTP kodlarının ne kadar kolay çalınabileceğini gösteren gerçek dünya demoları ile hem kullanıcıların hem de satıcıların hızlı hareket etmesi gerektiği açıktır; Bu eski bir sorun değil, büyüyen bir tehdit.