Opera GX Kusuru, Kötü Amaçlı Sitelerin Ziyaret Edilen Sayfalardan Veri Çalmak İçin Modları Otomatik Olarak Yüklemesine İzin Veriyor Windows

Opera GX Kusuru, Kötü Amaçlı Sitelerin Ziyaret Edilen Sayfalardan Veri Çalmak İçin Modları Otomatik Olarak Yüklemesine İzin Veriyor

Araştırmacılar, Opera tarayıcısının oyun odaklı sürümü olan Opera GX'te, kötü amaçlı bir web sitesinin sessizce bir tarayıcı eklentisi yüklemesine ve ...

Araştırmacılar, Opera tarayıcısının oyun odaklı sürümü olan Opera GX'te, kötü amaçlı bir web sitesinin sessizce bir tarayıcı eklentisi yüklemesine ve bunu kurbanın ziyaret ettiği sayfalardan belirli verileri kaldırmak için kullanmasına izin veren bir kusur buldu.

Kavramın bir kanıtı olarak, oturum açmış bir kullanıcının tam Gmail adresini tek bir ziyarette, hiçbir tıklama olmadan yeniden oluşturdular. Opera kusuru düzeltti ve bunun vahşi doğada kullanıldığına dair hiçbir kanıt bulamadığını söyledi.

Düzeltme, Opera GX'in 130.0.5847.89 sürümüyle birlikte gönderildi; dolayısıyla mevcut yapıyı kullanan herkes zaten kapsam dahilindedir; sizinkini opera://about adresinden onaylayabilirsiniz. CVE yok.

Saldırı hiçbir tıklamaya veya onaya ihtiyaç duymadığından yamadan başka geçici çözüm yoktu. Opera'nın hata ödül ekibi, sorunu en yüksek ciddiyet düzeyi olan P1 olarak derecelendirdi ve kritik bir hata için maksimum 5.000 $ ödül ödedi.

Teknik Analiz

Saldırı nasıl çalışıyor?

Detaylar ve Etkileri

GX Modları, Opera GX'i özel sesler, temalar, duvar kağıtları ve ziyaret ettiğiniz siteleri yeniden şekillendiren CSS ile yeniden kaplamanıza olanak tanır. Tarayıcı uzantıları gibi .crx dosyaları olarak gönderilirler, ancak JavaScript'i çalıştıramazlar ve hiçbir izne sahip olamazlar.

Zayıf nokta ise kurulum şeklidir: Opera'nın mod işlem hattı, herhangi bir onay istemi olmaksızın bir modu otomatik olarak indirir ve etkinleştirir. Yani kötü amaçlı bir sayfa, örneğin bir .crx dosyasına işaret eden gizli bir iframe yükleyerek sessizce bir sayfa kurabilir.

Nasıl Önlem Alınmalı?

Tek işaret, adres çubuğunun altında, Kaldır düğmesiyle birlikte bir modun eklendiğini bildiren bir bildirim çubuğudur.

Bu otomatik yükleme davranışı yeni değil. Araştırmacı Renwa bunu 2023 yılında tespit etti ve yüklü bir modu tam uzantıya yükselterek tarayıcının adres çubuğunu yanıltmak için kullandı. Opera, söz konusu saldırıyı Mart 2023'te yamaladı ancak temeldeki otomatik yüklemeyi yerinde bıraktı; bu yeni araştırma da bunun üzerine inşa ediliyor.

Sessiz bir görünüm ve his modu, kendi başına zararsız gibi görünür. Ancak bir modun CSS'si yalnızca bir sayfaya değil, ziyaret ettiğiniz her sayfaya uygulanır. Sıradan CSS enjeksiyonu, açıldığı sayfayla sınırlıdır; Burada saldırganın stili, tarayıcının açtığı her siteye ulaşıyor; araştırmacıların evrensel CSS enjeksiyonu adını verdiği bu teknik.

Sistem Güvenliği

CSS bir sayfayı okuyamaz ve onu kendi başına gönderemez. Ancak her seferinde bir parça değer sızdırmaya ikna edilebilir. İşin püf noktası, nitelik seçicilere dayanır: Bir kural, bir öğenin öznitelik değerinin, örneğin gizli bir alana saklanan bir e-postanın, belirli bir harfle başlayıp başlamadığını test edebilir ve ancak o zaman saldırganın sunucusundan bir arka plan resmi getirebilir. Bunlardan yeterince ateş ederseniz, karakter karakter değerini öğrenirsiniz.

Uzmanların Görüşleri

Araştırmacılar buna siteler arası sızıntının kısaltması olan XS-Leak adını veriyor. Araştırmacılar, bir Gmail adresi almak için bunu, adresi üç HTML özelliğinde taşıyan myaccount.google.com/contactemail adlı Google hesabı sayfasına yönelttiler.

Yaklaşık 150.000 CSS kuralı içeren bir mod hazırladılar, adresin her üç harfli parçası için bir set oluşturdular ve bir yeniden yapılandırma komut dosyasının eşleşmeleri tekrar bir araya getirmesine izin verdiler. İlk önce 5,6 milyon kural ve yaklaşık 880 MB CSS gerektiren dört harfli parçaları denediler. Tarayıcı tıkandı, bu yüzden yeniden birleştirilebilecek kadar üst üste gelen üç harfli parçalara küçültüldüler.

Sonuç ve Değerlendirme

Bunları birbirine zincirlemek sadece bir dürtmeyi gerektirdi. Kurban, saldırganın sayfasına ulaşır, mod saniyeler içinde yüklenir ve birkaç satır JavaScript, tarayıcıyı Google hesap sayfasına yönlendirir. Modun CSS'si zaten orada yüklü olduğundan, kurban bildirimin Kaldır düğmesine ulaşamadan, sayfa oluşturulurken istekleri harekete geçirir ve adresi sızdırır.

Gmail adresi yalnızca kavramın kanıtıydı; aynı yaklaşım, kullanıcı adı gibi bir sayfanın işaretlemesinde gösterdiği diğer değerleri de kaldırabilir.

Aynı otomatik yükleme yolunun, araştırmacıların belgelediği ikinci, daha basit bir kullanımı daha vardır: özel (Gizli) moddayken bir .crx yüklemek, tarayıcıyı çökertir ve tüm açık sekmeleri atar. Bu, yalnızca Opera GX'i değil, normal Opera'yı da etkiliyor çünkü herhangi bir .crx, içerdiği her ne olursa olsun, uzantı kurulum hattını tetikliyor. Opera'nın tavsiye belgesi veri hırsızlığı sorununu gideriyor ve çökmeden bahsetmiyor.

Gelecekte Ne Bekleniyor?

Şiddet ve büyük resim

Rapor neredeyse hakkını alamamıştı. Opera, ödül programını Bugcrowd üzerinde yürütüyor ve triyaj analistleri, böceğin ne yaptığını anlamakta zorlandılar ve ilk önce onu orta düzeyde bir P3 olarak derecelendirdiler.

Araştırmacılar iddialarını alışılmadık derecede doğrudan bir şekilde ortaya koydular: Bir analist saldırıyı yeniden üretirken analistin kendi trigramlarını yakaladılar, analistin Gmail adresini yeniden oluşturdular ve bunu rapora yapıştırdılar. Opera ekibi daha sonra ciddiyeti P1'e çıkardı ve kritik seviye maksimum 5.000 $'ı ödedi.

Önemli Gelişmeler

Opera'nın kendi hesabı daha ölçülü. tavsiyesinde Şirket, bu kusurun hiçbir zaman istismar edilmediğinden "oldukça emin" olduğunu söylüyor ve saldırının gerçekleştirilmesinin karmaşık olduğunu belirtiyor: kurbanın kötü amaçlı bir siteye girmesi, yeni bir mod bulması ve yönlendirmenin ateşlenmesine yetecek kadar bir süre boyunca kaldırma bildirimini görmezden gelmesi gerekiyordu.

Araştırmacıların demosu karşı ağırlıktır. Yönlendirmeleri, bırakın Kaldır'ı tıklamayı, kullanıcının bildirimi okuyabilmesine bile saniyeler kala çalışır. Bu, Opera'nın doğada hiçbir iz bulamadığı dar kapsamlı, karmaşık bir saldırıydı ve kurulduğunda hâlâ sıfır tıklamayla çalışıyordu.

Buradaki risk hiçbir zaman tek başına kozmetik özellik değildi. Ulaşmaktı. Bir modun CSS'si sizi bir siteden diğerine takip edebildiğinde, "sadece stil verme"nin çok fazla olduğu ortaya çıktı.

Bilinen bir fikrin çarpıklığı budur: Yalnızca CSS hırsızlığı, PortSwigger'ın Blind CSS Exfiltration araştırmasında olduğu gibi genellikle enjekte edildiği sayfada sıkışıp kalır, ancak burada kurbanın açtığı her siteye yayıldı.

Ayrıca bu, Opera'nın kullanıcılarının aleyhine kullandığı ilk özellik de değil; Hacker News, Opera'nın My Flow'undaki 2024 MyFlaw hatasını ele aldı ve Opera, 2023'ten beri bu otomatik yükleme davranışı konusunda uyarılmıştı.

Paylaş: