Güvenlik Uzmanları SVG ve CSS Kullanan Yeni Bir Clickjacking Saldırısı Keşfetti

Güvenlik araştırmaları son dönemde web tarayıcılarında çalışan görsel bileşenlerin beklenmedik etkilerini öne çıkardı. Lyra Rebane tarafından paylaşılan bulgular, SVG filtrelerinin kökenler arası veri sızıntısına yol açtığını gösterdi. Bu durum, yerleşik güvenlik modellerinin dışına çıkan yeni bir saldırı tekniğini gündeme taşıdı.

Yeni Clickjacking Yöntemi Web Sitelerini Tehdit Ediyor

Rebane tarafından geliştirilen yöntem, SVG filtrelerinin iframe içinde arka plandaki sayfanın piksellerine erişebilmesinden güç alıyor. Standart güvenlik kuralları, çerçeve içine alınan içeriklerin başlık ayarlarıyla korunmasını öngörür. Çeşitli platformlar bu korumayı uygulasa da bazı servisler çerçeve kullanımına izin verir. Araştırmacı, bu izinlerin yeni saldırı zincirlerinin başlamasına kaynak sağladığını ifade etti.

Rebane, Apple tarafından kullanılan Liquid Glass efektini yeniden üretirken SVG filtrelerinin beklenenden daha esnek şekilde çalıştığını fark etti. Filtrelerin feBlend ve feComposite gibi bileşenlerle mantıksal kapılar kurabildiğini gösteren araştırma, görsel efektlerin hesaplama süreçlerine dönüşebildiğini ortaya koydu. Bu yaklaşım, kötü amaçlı kişilerin karmaşık saldırı zincirleri oluşturmasına alan açıyor.

Araştırmacı, geliştirdiği yöntemle Google Docs içeriğini örnek alan bir saldırı senaryosu hazırladı. Sahte bir arayüzde bulunan “Belge Oluştur” düğmesi, arka plandaki sayfanın piksellerini okuyan filtrelerle birleşti. Kurulan düzenek, CAPTCHA alanını taklit eden bir ara yüzün görünmesine neden oldu. Kullanıcı etkileşimi sağlandığı anda gizli metin kutusuna içerik aktarıldı.

Google Docs çerçeve kullanımına izin verdiği için saldırı bloğu devreye girdi. Rebane, video platformları, harita servisleri, ödeme sayfaları ve gömülü sosyal medya içeriklerinin de benzer riskler taşıdığını belirtti.

Araştırmacı, içerik güvenlik politikası (CSP) kullanan sitelerin JavaScript engeliyle XSS riskini azalttığını söyledi. Saldırganlar bu tür sayfalarda CSS üzerinden etkileşim kurmanın yolunu arıyor. SVG tabanlı clickjacking tekniği, CSS özelliklerini kullanarak tarayıcıları farklı şekillerde yönlendirebiliyor. Bu durum, saldırı yüzeyini genişletiyor.

Rebane, geliştiricilerin Intersection Observer v2 API ile iframe üzerinde yer alan SVG filtrelerini tespit edebileceğini açıkladı. Bu yöntem saldırıların etkisini azaltıyor. Chrome tarafında açılan ilgili hata kaydının “düzeltilmeyecek” notuyla işaretlenmesi sürecin belirsizliğini koruduğunu gösteriyor. Araştırmacı, bulguları nedeniyle Google’dan 3133.70 dolar ödül aldı.

Güvenlik uzmanları, web geliştiricilerinin içerik güvenliği politikalarını uygulamaya devam etmesini öneriyor. X-Frame-Options veya frame-ancestors yönergelerinin kullanımı önem taşıyor. Kullanıcılar da güvenilmeyen web sitelerinde dikkatli olmalı. Özellikle beklenmedik açılır pencerelere veya CAPTCHA’lara karşı tetikte olmak gerekiyor.