Giriş
Son yıllarda şifre yöneticileri, kullanıcıların hassas verilerini koruma konusunda önemli bir rol oynamaktadır. Ancak yapılan son araştırmalar, kullanıcıların bu hizmetlere olan güveninin temeli olan güvenlik açıklarının bulunduğunu ortaya koydu. Özellikle, altı büyük şifre yöneticisi, tens of millions kullanıcısının bilgilerini tehlikeye atabilecek clickjacking hatalarına maruz kalmış durumda. Bu tür sorunlar, saldırganların kullanıcıların hesap bilgilerini, 2FA kodlarını ve kredi kartı bilgilerini çalmaları için bir kapı açabilir.
Clickjacking Nedir?
Clickjacking, kullanıcıların görünmeyen öğelere tıklamasını sağlamayı amaçlayan bir tür siber saldırıdır. Saldırganlar, görünmeyen HTML elemanları ve şifre yöneticisi arayüzünün üzerine bindirilmiş sahte butonlar kullanarak, kullanıcıların beklemedikleri yanlışlıklara yol açar. Kullanıcı, masum görünen bir öğeye tıkladığında, bu eylem otomatik doldurmanın çalışmasına ve dolayısıyla hassas bilgilerin sızmasına sebep olabilir.
Bu sorunlar, DEF CON 33 siber güvenlik konferansında Marek Tóth tarafından gündeme getirildi. Araştırmalar, Socket adlı şirket tarafından doğrulandı ve sorunların etkilediği tedarikçilere bilgi verildi.
Saldırı Yöntemleri
Marek Tóth’un araştırmaları, bir şifre yöneticisinin arayüzünü hedef alarak gerçekleşen çeşitli saldırı yöntemlerini ortaya koyuyor. Saldırganlar, kötü amaçlı veya zararlı bir web sitesinde bir script çalıştırarak, şifre yöneticisinin otomatik doldurma açılır menüsünü gizlemek için opasite ayarları, overlay ya da pointer-events hileleri kullanabilirler.
Öne Çıkan Yöntemlerden Bazıları:
- Doğrudan DOM elemanı opasite manipülasyonu: Bu teknikle, belirli elemanların görünmez hale getirilmesi sağlanır.
- Kısmı veya tam overlay uygulaması: Kullanıcı, görünmeyen alanlara tıklayarak dolaylı olarak hassas verilerini açığa çıkarabilir.
- UI’nin fare imlecine göre hareket etmesi: Bu yöntemle, kullanıcı nereden tıklarsa tıklasın otomatik doldurma tetiklenir.
Tóth’un belirttiği gibi, saldırganlar, hedef kullanıcının tarayıcısındaki aktif şifre yöneticisini belirlemek için evrensel bir saldırı scripti kullanabilir ve saldırı şekli anlık olarak değiştirebilir.
Tedarikçi Etkisi ve Tepkiler
Yapılan testlerin sonucunda, 11 popüler şifre yöneticisinin hepsinin en azından bir saldırı yöntemine maruz kaldığı belirlendi. Tedarikçiler, Socket aracılığıyla Nisan 2025’te sorunlar hakkında bilgilendirildi. Bununla birlikte, bazı tedarikçilerin bu sorunlara yaklaşımı dikkat çekici bir şekilde farklılık gösterdi.
Örneğin:
- 1Password, durumu “bilgilendirici” olarak nitelendirerek, clickjacking’in genel bir web riski olduğunu açıkladı.
- LastPass da benzer şekilde durumu “bilgilendirici” olarak kabul etti.
- Bitwarden, durumu kabul ederek sorunların 2025.8.0 versiyonu ile düzeltileceğini açıkladı, ancak sorunların ciddiyetini önemsiz buldu.
Diğer tedarikçiler, özellikle LogMeOnce, hiçbir iletişim sinyaline yanıt vermedi. Şu anda bir araya gelen şifre yöneticileriyle, Tóth’un belirtilen saldırı yöntemlerine maruz kalmaktalar.
Mevcut Güvenlik Durumu
Bulunan açıklardan etkilenen şifre yöneticileri ve onların versiyonları şunlardır:
- 1Password 8.11.4.27
- Bitwarden 2025.7.0
- Enpass 6.11.6
- iCloud Passwords 3.1.25
- LastPass 4.146.3
- LogMeOnce 7.12.4
Güvenlik açığını kapatan tedarikçiler arasında Dashlane, NordPass, ProtonPass, RoboForm ve Keeper yer almaktadır. Kullanıcıların, ürünlerinin en güncel versiyonlarını kullandıklarından emin olmaları önemlidir.
Öneriler
Tóth, kullanıcıların autofill işlevini devre dışı bırakmalarını ve sadece kopyalayıp yapıştırmayı tercih etmelerini öneriyor. Bu tür savunma önlemleri, bilinçli bir kullanıcı olmanın önemini yansıtmakta ve siber güvenlik konusunda dikkatli olunması gerektiğini hatırlatmaktadır.
Sonuç olarak, şifre yöneticilerinin güvenilirliği büyük bir tehdit altında. Kullanıcıların bilgilerini koruyabilmeleri için güvenlik güncellemelerini takip etmeleri ve her zaman bilinçli bir şekilde hareket etmeleri kritik öneme sahiptir.
