WeChat gibi anlık mesajlaşma (IM) uygulamaları milyarlarca için vazgeçilmez hale geldi, sadece iletişimi değil, aynı zamanda ödemeleri, işleri ve kişisel veri alışverişini de kolaylaştırdı.
Bununla birlikte, yaygınlıkları ve karmaşıklıkları onları sofistike siber saldırılar için temel hedefler haline getirir.
Bu makalede, teknik mekanizmaları, gerçek dünya güvenlik açıklarını ve WeChat’in katmanlı güvenlik yanıtlarını inceleyerek, kalıcı müşteri tarafı saldırıları için tek bir Wechat mesajının nasıl kaldırılabileceğini araştırıyor.
.png
)
WeChat’teki Saldırı Yüzleri:
WeChat’in müşteri tarafı mimarisi birkaç kritik saldırı yüzeyini ortaya çıkarır:
- URL bağlantıları ve özel protokoller: WeChat, gibi özel URI şemalarını destekler.
weixin://uygulama içinde derin bağlantı etkinleştirme. - Saldırganlar, kötü niyetli bağlantılar oluşturmak için LAX URL doğrulamasını kullanabilir, kullanıcıları kimlik avı sitelerine yönlendirebilir veya rıza olmadan hassas uygulama içi eylemleri tetikleyebilir.
- Örneğin,
weixin://dl/Protokol sayfa yönlendirmesi için kullanılır veticketparametre çağırıyor/cgi-bin/mmbiz-bin/translatelinkSon nokta hedefleri çözmek için keyfi yönlendirmeleri hafifletir. - Dosya İşleme Güvenlik Açıkları: WeChat’in kullanıcı rahatlığı için tasarlanmış özel dosya işleme mantığı, özel hazırlanmış dosyalar kullanılarak saldırganlar tarafından kullanılabilir.
- Dikkate değer güvenlik açıkları arasında CVE-2019-11932 (WhatsApp’ta kötü niyetli GIF) ve CVE-2025-30401 (bir görüntü olarak gizlenmiş yürütülebilir), her ikisi de IM istemcilerinde uzaktan kod yürütmeyi etkinleştirir1.
- Dahili tarayıcı bileşenleri: Wechat’in Android istemcisi, krom tabanlı bir tarayıcı olan XWEB motorunu kullanıyor.
- XWEB düzenli olarak güncellenirken, genellikle resmi krom sürümlerinin gerisinde kalır ve onu CVE-2023-41064 ve CVE-2023-4863 gibi bilinen güvenlik açıklarına maruz bırakır.
libwebpbileşen. - Web sayfalarının yerel işlevleri çağırmasına izin veren JSBRIDGE arabirimi, web sayfasının URL’sine göre erişimi sınırlayan buluttan alınan bir izin dizisi ile sıkı bir şekilde kontrol edilir.
| Saldırı yüzeyi | Örnek protokol/bileşen | Güvenlik Açığı Türü | Azaltma mekanizması |
|---|---|---|---|
| URL bağlantıları | weixin://– slack://settings | Kimlik avı, yetkisiz eylemler | Sıkı URL validasyonu, etki alanı beyaz listesi |
| Dosya işleme | GIF, Görüntü olarak gizlenmiş yürütülebilir | Uzak Kod Yürütme | Dosya Türü Doğrulama, Sandboxing |
| Yerleşik tarayıcı | Xweb, Jsbridge | Ayrıcalık yükseltme, RCE | İzin Dizileri, İşlem İzolasyonu |
| Mini programlar | JavaScript API’leri | XSS, ayrıcalık kötüye kullanımı | Çift katmanlı izolasyon, JSAPI kontrolleri |
Teknik mekanizmalar ve güvenlik kodları
WeChat URL doğrulaması:
Yapılandırmanın kurcalanmasını önlemek için WeChat, gibi hassas işlemleri kısıtlar. set_config_url HTTPS alan adlarına dldir1.qq.com veya dldir1v6.qq.com sadece. Örneğin:
textif (protocol != "https" || (domain != "dldir1.qq.com" && domain != "dldir1v6.qq.com")) {
rejectRequest();
}
Bu katı doğrulama, bir kullanıcı kötü amaçlı bir bağlantıyı tıklamak için kandırılmış olsa bile, yetkisiz yapılandırma değişikliklerinin engellenmesini sağlar.
XWEB’de süreç izolasyonu:
WeChat’in XWEB tarayıcısı çok işlemli kum havuzu kullanıyor:
- Ana süreç içeri girer
xweb_privileged_process_0 - Oluşturma
xweb_sandboxed_process_0
Bu ayrılık, süreç güvenlik açıklarını oluşturmanın etkisini sınırlar ve ayrıcalık artışını saldırganlar için önemli ölçüde daha zor hale getirir.
Mini Program Güvenlik Mimarisi:
Wechat mini programları yürütmeyi bir oluşturma katmanı (UI) ve bir mantık katmanı (iş mantığı), her biri izole iş parçacıklarında çalışıyor.
Mantık katmanındaki JavaScript kodu DOM API’larına erişemezken, oluşturma katmanı yüksek pratik işlevleri çağıramaz. Anahtar JSAPI fonksiyonları seçici olarak ortaya çıkar:
| Katman | Örnek JSAPI işlevleri |
|---|---|
| Oluşturma katmanı | insertVideoPlayer– insertTextArea |
| Mantık katmanı | saveFile– addDownloadTask |
Bu mimari, saldırganların ayrıcalıkları artırmak veya hassas API’lara erişmek için mini programlarda siteler arası komut dosyası (XSS) kullanmasını önler.
En iyi uygulamalar ve kalan zorluklar
Bu sağlam mekanizmalara rağmen, Wechat’in güvenliği kusursuz değil:
- Şifreli zayıflıklar: TLS 1.3’ün değiştirilmiş bir versiyonu olan WeChat’in MMTLS protokolü, deterministik IV’ler ve ileri gizlilik eksikliği gibi kriptografik zayıflıklar içerir ve standart uygulamalardan daha az güvenli hale getirir.
- Mini programlar için kod gizlemesi: Tersine karşı mühendisliğe karşı koymak için, WECHAT mini programları kod gizlemesi, anti-kötü niyetli ve HTML/JavaScript’in şifrelemesini kullanabilir. Bu, tescilli algoritmaları veya hassas verileri çıkarmaya çalışan saldırganların zorluğunu artırır.
Token İzinlerini Yönetme
WeChat, sunucu tarafı arayüzleri sağlar setCloudAccessToken Bulut jeton izinlerini yönetmek için, yalnızca yetkili bileşenlerin hassas API’lara erişmesini sağlamak.
Özetle, WeChat’in çok katmanlı güvenliği-katı URL validasyonu, süreç izolasyonu, çift iplikli mini program mimarisi ve izin tabanlı API maruziyeti-kalıcı müşteri tarafı saldırılarını azaltmak için kapsamlı bir yaklaşım oluşturur.
Bununla birlikte, saldırganlar yöntemlerini geliştirdikçe, kriptografik en iyi uygulamaların sürekli uyanıklığı ve benimsenmesi önemli olmaya devam etmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!