Clickjacking, siber güvenlik dünyasında uzun süredir “aptalca” bir saldırı olarak görülüyor. Geleneksel olarak, “Hesabı Sil” düğmesini sahte bir “Video Oynat” katmanıyla maskelemek gibi, kullanıcıyı istemediği bir düğmeyi tıklatmaya kandırmak için meşru bir web sitesi üzerine görünmez bir çerçeve yerleştirmeyi içerir.
Ancak Lyra olarak bilinen bir güvenlik araştırmacısı, tehdit ortamını temelden değiştiren, “SVG tıklama hırsızlığı” adı verilen yeni ve karmaşık bir tekniği ortaya çıkardı.
Bir güvenlik araştırmacısı, tıklama saldırılarının işleyişini temelden dönüştüren ve bunları basit “gizli düğme” hilelerinden, ekran içeriğini okuyabilen ve mantığı çalıştırabilen karmaşık, etkileşimli istismarlara dönüştüren yeni bir istismar tekniğini ortaya çıkardı.
Keşifi Lyra (ya da rebane2001) olarak bilinen araştırmacı tarafından “SVG clickjacking” olarak adlandırılan bu teknik, hedef web sitesinin durumunu tespit edip yanıtlayabilen “akıllı” katmanlar oluşturmak için Ölçeklenebilir Vektör Grafikleri (SVG) filtrelerinden yararlanıyor.
Saldırganların kullanıcıları bir düğmeye tıklamaları için kandırmak amacıyla görünmez bir iframe yerleştirdiği geleneksel tıklama hırsızlığından farklı olarak, bu yeni yöntem, saldırı sayfasının kurban sitedeki pikselleri “okumasına” ve kullanıcının gördüklerine göre kendi arayüzünü değiştirmesine olanak tanır.
SVG Tıklama Saldırısı Saldırısı
Güvenlik açığının temelinde modern tarayıcıların feDisplacementMap, feColorMatrix ve feComposite gibi SVG filtrelerini işleme biçiminde yatmaktadır. Bu araçlar kırılma veya renk kaymaları gibi grafik efektler için tasarlanmış olsa da Lyra, bunların mantıksal işlemleri gerçekleştirmek üzere yeniden kullanılabileceğini gösterdi.
Saldırgan, bu filtreleri birbirine zincirleyerek doğrudan tarayıcının işleme motorunda işleyen mantık kapıları (AND, OR, XOR) oluşturabilir. Bu, SVG filtresini etkili bir şekilde çapraz kökenli iframe’i izleyebilen ilkel bir bilgisayara dönüştürür.
Örneğin bir saldırı, belirli bir iletişim kutusunun görünüp görünmediğini, bir onay kutusunun işaretlenip işaretlenmediğini veya kırmızı hata metninin görünür olup olmadığını algılayabilir ve ardından kullanıcıya çok adımlı bir süreçte rehberlik etmek için sahte katmanı dinamik olarak güncelleyebilir.
Lyra, Google Dokümanlar’a yönelik bir kavram kanıtlama saldırısıyla tekniğin ciddiyetini gösterdi; bu saldırı, Google’ın Güvenlik Açığı Ödül Programından 3.133,70 ABD doları ödül kazandı.
Demoda saldırgan, bir kullanıcıyı bir belge oluşturması, bir metin kutusuna (aslında bir Google Dokümanlar giriş alanıydı) sahte bir “captcha” yazması ve bir dizi düğmeyi tıklaması için kandırdı.
Saldırı dikkat çekiciydi çünkü kaplamanın belgenin durumuna tepki vermesini gerektiriyordu, kullanıcı captcha’yı başarıyla “yazdığında” sahte giriş kutusunu gizledi ve yalnızca belge hazır olduğunda yeni bir düğme gösterdi.
Lyra şöyle yazdı: “Geçmişte, böyle bir saldırının tek tek bölümleri geleneksel tıklatma yoluyla başarılabilirdi… ancak saldırının tamamı gerçekçi olamayacak kadar uzun ve karmaşık olurdu” diye yazdı.
Belki de SVG tıklama korsanlığının en çarpıcı uygulaması veri sızdırma yeteneğidir. Araştırmacı, tekniğin bir hedef sitedeki hassas pikselleri nasıl okuyabildiğini ve bu verileri bir URL’ye nasıl kodlayabildiğini ve bunun daha sonra feDisplacementMap filtresini kullanarak taranabilir bir QR kodu olarak işlendiğini gösterdi.
Bu, bir saldırganın kullanıcıdan “insan olduğunuzu doğrulamak için bu kodu taramasını” isteyebileceği ve kodun aslında çalınan oturum verilerini veya parametrelere gömülü özel bilgileri içeren bir URL içerdiği bir senaryo oluşturur.
Bu araştırma, “UI düzeltme” saldırılarında önemli bir artışa işaret ediyor. SVG filtrelerinin çapraz kökenli pikselleri okumak ve mantığı yürütmek için bir yan kanal görevi görebileceğini kanıtlayan araştırma, yalnızca görsel belirsizliğe güvenmenin artık tıklama korsanlığına karşı yeterli bir savunma olmadığını öne sürüyor.
Lyra’nın belirttiği gibi teknik, daha önce bu tür istismarların etkisini sınırlayan kör tahminleri atlayarak “etkileşimli” ve “duyarlı” saldırılara izin veriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
