.webp "Milyonlarca Kullanıcıyı Etkileyen Safari, Microsoft Edge ve DuckDuckGo Sahtekarlık Kusurları")
RedSecLabs güvenlik araştırmacıları Rafay Baloch ve Muhammad Samaak, Safari, Microsoft Edge ve DuckDuckGo gibi yaygın olarak kullanılan mobil tarayıcılardaki adres çubuğu sahteciliği güvenlik açıklarını ortaya çıkardı.
Bu güvenlik açıkları dünya çapında milyonlarca kullanıcıyı etkileyen önemli bir etkiye sahiptir.
Adres Çubuğu Sahtekarlığının Önemi
Google, Google Güvenlik Açığı Ödül Programı (VRP) yönergelerinde adres çubuğu sahteciliğinin ciddiyetini vurguladı.
Google’a göre adres çubuğu sahteciliği, modern tarayıcıların tek güvenilir güvenlik göstergesini zayıflattığı için önemli bir tehdit oluşturuyor.
Bu durum onu acil müdahale gerektiren kritik bir konu haline getiriyor.
RedSecLabs’ın sorumlu açıklama politikası uyarınca, satıcılara bu güvenlik açıklarını derhal gidermeleri için 60 günlük bir süre verildi. Ancak satıcıların beklediğinden uzun sürdü.
Raporun ardından, Apple Safari ve Microsoft Edge tarayıcılarındaki güvenlik açıkları sonunda giderildi.
Güvenli bir web sitesinde olduğunuzu düşünerek mobil cihazınızda internette gezindiğinizi, ancak adres çubuğunun sizi aldattığını fark ettiğinizi hayal edin. Bu aldatıcı taktiğe Adres Çubuğu Sahtekarlığı adı verilir.
Siber suçlular, kötü amaçlı bir web sitesinin URL’sini google.com, bing.com, facebook.com veya apple.com gibi meşru web sitelerini taklit edecek şekilde değiştirir.
Bu, web sitesinin orijinalliğini doğrulamayı zorlaştırır ve saldırganların, kullanıcıları kişisel bilgileri ifşa etmeleri veya kötü amaçlı yazılımları kolayca indirmeleri için kandırmasına olanak tanır.
CVE-2023-42438 – Safari ve Edge’deki güvenlik açıkları
Safari
Apple Safari, dünya çapında tahmini 984 milyon kullanıcısı ile en yaygın kullanılan tarayıcılardan biridir.
Ek olarak Safari, küresel mobil cihaz tarayıcılarının %24,71’ini oluşturuyor; bu, Apple’ın %28,83’lük akıllı telefon pazar payı göz önüne alındığında önemli bir rakam.
Popülerliğine rağmen Safari güvenlik açıklarına karşı bağışık değildir.
Safari’nin 9.5 sürümünde adres çubuğu sahteciliği güvenlik açığı bulundu.
Apple’ın sorunu bildirmesinin ardından güvenlik açığı giderildi ve CVE-2023-42438 atandı.
Microsoft Kenarı
Safari gibi, iOS için Microsoft Edge Tarayıcı da adres çubuğu sahtekarlığı saldırısına karşı savunmasızdı.
Rapor Microsoft MSRC programına sunuldu.
Bu istismar, bing.com’u mevcut bir “bing.com:8080” bağlantı noktası olmadan her 9,8 saniyede bir yeniden yüklemek için ayarlanan aralık işlevinin kullanılmasını içerir.
Bu sürekli yeniden yükleme, yönlendirme sırasında URL’nin orijinalliği konusunda kullanıcıların kafasını karıştırabilir.
5 milyonun üzerinde indirme sayısına sahip gizlilik odaklı tarayıcı DuckDuckGo’nun da adres çubuğu sahtekarlığı saldırısına karşı savunmasız olduğu keşfedildi.
Rapor HackerOne platformu aracılığıyla gönderildi; ancak DuckDuckGo güvenlik ekibi bunu kopya olarak işaretledi.
Kavramın ispatı
Bu istismar, bing.com’u mevcut bir “bing.com:8080” bağlantı noktası olmadan her 9,8 saniyede bir yeniden yüklemek için ayarlanan aralık işlevinin kullanılmasını içerir.
Bu sürekli yeniden yükleme, yönlendirme sırasında URL’nin orijinalliği konusunda kullanıcıların kafasını karıştırabilir.
Safari, Microsoft Edge ve DuckDuckGo’da bu adres çubuğu kimlik sahtekarlığı güvenlik açıklarının keşfedilmesi, web tarayıcılarında sağlam güvenlik önlemlerine yönelik kritik ihtiyacın altını çiziyor.
Milyonlarca kullanıcı günlük internet etkinlikleri için bu tarayıcılara güvendiğinden, güvenliklerinin ve güvenliklerinin sağlanması çok önemlidir.
RedSecLabs’ın zamanında müdahalesi ve satıcıların müteakip düzeltmeleri, kullanıcı verilerinin korunmasına ve dijital platformlara olan güvenin sürdürülmesine yönelik övgüye değer adımlardır.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo