Bir grup Araştırmacı, gizlilik odaklı ünlü bir web posta hizmeti olan Proton Mail’in güvenliğini tehlikeye atabilecek kritik kod Proton Mail güvenlik açıklarını ortaya çıkardı.
Bu güvenlik açıkları, Proton Mail kullanıcılarının mahremiyetine ve gizliliğine yönelik önemli bir risk oluşturarak, hassas iletişimlerin korunmasında güçlü kod güvenliğinin önemini vurguladı.
Keşfedilen güvenlik açıkları, mesajların kullanıcılar için şifresinin çözüldüğü Proton Mail’in web istemcisinde yoğunlaştı.
Proton Mail, aktarım halindeki ve beklemedeki iletişimlerin güvenliğini sağlamak için uçtan uca güçlü şifreleme kullanırken, bu güvenlik açıkları güvenlik zincirindeki potansiyel bir zayıf noktayı açığa çıkardı.
Özellikle, güvenlik açıklarından, şifresi çözülmüş e-postaları çalmak ve kullanıcıların kimliğine bürünmek için yararlanılmış olabilir.
Saldırı Senaryosu:
Bir saldırıyı gerçekleştirmek için, tehdit aktörlerinin Proton Mail kullanıcılarını kötü niyetli olarak hazırlanmış mesajlarla etkileşime girmeleri için kandırmaları gerekir.
Saldırı genellikle kurbanların bu mesajların içindeki bağlantıları görüntülemesini veya tıklamasını gerektiriyordu. Saldırının yalnızca mesaj görüntülemeyle başarılı olması mümkün olsa da en etkili senaryo, kullanıcıların takip e-postasındaki bir bağlantıya tıklamasını içeriyordu.
SonarSource Araştırma ekibi, Haziran 2022’de bu güvenlik açıklarını sorumlu bir şekilde Proton Mail’e açıkladı ve satıcının hızlı bir şekilde harekete geçmesini sağladı.
SonarSource, koddaki sürdürülebilirlik, güvenilirlik ve güvenlik açığı ile ilgili sorunları tanımlamak için tasarlanmış bir dizi kod kalitesi ve güvenlik çözümü sunar. Bu çözümler 27 programlama dilini desteklemektedir.
Proton Mail, sorunları derhal ele aldı ve güvenlik duruşunu güçlendirmek için düzeltmeler uyguladı. Bu proaktif yanıt, güvenlik açıklarından bilinen herhangi bir şekilde yararlanılmasını önledi.
“Haziran 2022’de güvenlik açıklarını sorumlu bir şekilde satıcıya bildirdik ve kısa süre sonra düzeltildi.”
Güvenlik Açığı Ayrıntıları:
Güvenlik açıkları, web uygulamalarında kullanıcı kontrollü HTML ile çalışırken yaygın bir güvenlik sorunu olan Siteler Arası Komut Dosyası Çalıştırma (XSS) riskleri etrafında dönüyordu.
Proton Mail’in son teknoloji ürünü bir HTML temizleyici kullanmasına rağmen, DOMPurify’ın ince kod incelikleri, saldırganların güvenlik önlemlerini atlamasına ve içeriğin oluşturulmasını değiştirmesine olanak tanıdı.
Güvenlik açıkları, e-postalardaki SVG öğeleriyle ilişkilendirildi ve bu, HTML ile SVG arasındaki ayrıştırma kurallarındaki farklılıklar nedeniyle saldırganların kötü amaçlı kod eklemesine olanak tanıdı.
Saldırganlar, bu unsurları ustalıkla manipüle ederek, HTML temizleyicinin incelemesinden kaçan veriler oluşturabilir ve sonuçta rastgele JavaScript yürütülmesine yol açabilir.
Bu güvenlik açıklarından başarıyla yararlanılsaydı, saldırganlar şifresi çözülmüş e-postalara, özel anahtarlara ve hatta anonimliği kaldırılmış kullanıcılara erişebilirdi.
Böyle bir uzlaşma, saldırganların kurbanların kimliğine bürünmesine ve potansiyel olarak kriptografik anahtarları çalmasına olanak tanıyarak Proton Mail’in güvenlik bilincine sahip kullanıcı tabanı için ciddi bir tehdit oluşturabilirdi.
Yama ve Önleme:
Proton Mail’in bu güvenlik açıklarını azaltmaya yönelik yaklaşımı, SVG desteğinin hizmetten tamamen kaldırılmasını içeriyordu. Bu önlem, belirli güvenlik açıklarını giderdi ve saldırı yüzeyini azaltarak genel güvenliği artırdı.
Kendi kodunuzda benzer güvenlik açıklarını önlemek için SonarSource aşağıdakileri önerir:
- Sterilizasyondan sonra verileri değiştirmekten kaçının.
- Mümkünse, temizleme işleminden sonra HTML’yi yeniden ayrıştırmaktan kaçının.
- DOMPurify gibi son teknoloji ürünü temizleme tekniklerini kullanın.
- Güvenlik uygulamaları konusunda güncel kalın ve riskleri en aza indirmek için güvenli kodlama yönergelerini kullanın.
Proton Mail’in hızlı yanıtı ve Sonar Araştırma ekibinin özenli araştırması, hassas iletişimlerin bütünlüğünü ve gizliliğini korumada proaktif güvenlik önlemlerinin önemini ortaya koyuyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.