Anthropic'in popüler Claude for Chrome eklentisinde keşfedilen yeni bir güvenlik açığı, kötü niyetli tarayıcı eklentilerinin kullanıcıların Gmail, Google Dokümanlar ve Takvim verilerine erişmesine olanak tanıyor. Manifold Security araştırmacıları tarafından keşfedilen bu açık, eklentinin en son sürümü olan v1.0.80'de hala mevcut ve Anthropic'in Mayıs ayında yayınladığı ClaudeBleed düzeltmesinden sonra bile varlığını sürdürüyor. Güvenlik açığı, CVSS puanı 9.6 kritik seviyesine ulaşabiliyor.
Sorunun temelinde, Claude for Chrome eklentisinin claude.ai üzerindeki bir düğmeye tıklanmasını bekleyen içerik betiği yatıyor. Bu betik, bir kullanıcının #claude-onboarding-button öğesine tıklamasını dinliyor ve tıklamanın ardından data-task-id değerini okuyarak eklentiye bir mesaj gönderiyor. Ancak, bu betik event.isTrusted kontrolünü yapmıyor. Bu kontrol, bir tıklamanın gerçek bir kullanıcı tarafından mı yoksa bir betik tarafından mı tetiklendiğini ayırt eden bir tarayıcı işareti. Bu nedenle, herhangi bir kötü niyetli eklenti, sahte bir tıklama oluşturarak Claude for Chrome'un onay kutusunu atlamasını sağlayabiliyor.
Manifold Security araştırmacıları, sahte tıklamanın sadece altı satır kodla gerçekleştirilebileceğini gösterdi. Bu kod, claude.ai konsoluna yapıştırıldığında, eklentinin Gmail okuma görevini tetikliyor. Eğer kullanıcı 'Act without asking' (sormadan hareket et) modunu etkinleştirmişse, bu görev hiçbir onay gerektirmeden sessizce çalışıyor. Aksi takdirde, varsayılan 'ask before acting' (harekete geçmeden önce sor) modunda, sahte tıklama yine de bir onay kutusu görüntülüyor, ancak kullanıcı bu kutuyu tıklamak zorunda kalıyor.
Daha sessiz bir ikinci güvenlik açığı ise, Claude'un yan panelinin ?skipPermissions=true URL parametresini kabul etmesiyle ilgili. Bu parametre ayarlandığında, panel hiçbir kullanıcı etkileşimi veya onay gerektirmeden tüm izinleri atlayarak çalışmaya başlıyor. Şu anda bu URL yalnızca eklentinin kendisi tarafından oluşturulabiliyor, ancak gelecekteki bir hata, daha düşük ayrıcalıklı bir bağlamın bu parametreyi ayarlamasına izin verirse, sahte tıklama saldırısı tamamen sessiz bir hesap okuma işlemine dönüşebilir.
Nasıl Önlem Alınmalı?
Manifold Security, bu güvenlik açıklarını 21 Mayıs'ta v1.0.72 sürümüne karşı bildirdi. Anthropic, iki sorunu da kabul etti ve kapattı. Ancak araştırmacılar, düzeltmelerin uygulanmadığını ve v1.0.80 sürümünde hala mevcut olduğunu tespit etti. The Hacker News, eklentinin 7 Temmuz'da güncellenen v1.0.80 sürümünü inceledi ve güvenlik açıklarının hala var olduğunu doğruladı. Her iki güvenlik açığı için de henüz bir CVE numarası yayınlanmadı.
Kullanıcılar için en hızlı korunma yöntemi, 'Act without asking' modunu kapatmak ve claude.ai'da veri okuyabilen veya değiştirebilen tüm eklentileri gözden geçirmektir. Bu, onay adımını geri getirir ancak sahte tıklama yolunu tamamen kapatmaz. Anthropic henüz resmi bir yama yayınlamadı. Güvenlik uzmanları, eklenti geliştiricilerine event.isTrusted kontrolü eklemelerini ve URL'den izin modu okumayı bırakmalarını öneriyor.
Bu güvenlik açıkları, özellikle yapay zeka asistanlarının tarayıcı eklentileri aracılığıyla hassas verilere erişmesi durumunda, güvenlik önlemlerinin ne kadar kritik olduğunu bir kez daha gösteriyor. LLM tabanlı uygulamaların dolaylı komut enjeksiyonu ve aşırı yetkilendirme gibi saldırılara karşı korunması gerekiyor. Kullanıcıların, tarayıcı eklentilerine verdiği izinleri düzenli olarak kontrol etmesi ve mümkün olan en az ayrıcalık ilkesini benimsemesi önem taşıyor.
Kaynak: thehackernews.com