Şifre Yöneticilerindeki Güvenlik Açıkları
Günümüzde şifre yöneticileri, çevrimiçi güvenliğimiz için kritik bir rol oynamaktadır. Ancak, yeni yapılan araştırmalar, bazı popüler şifre yöneticisi eklentilerinin güvenlik açıklarına sahip olduğunu ortaya koymuştur. Bu durum, kullanıcıların hesap bilgilerini, iki faktörlü kimlik doğrulama (2FA) kodlarını ve kredi kartı bilgilerini tehlikeye atmaktadır. Araştırmacı Marek Tóth’un DEF CON 33 güvenlik konferansında sunduğu bulgular, bu güvenlik açıklarının kötü niyetli kişiler tarafından nasıl istismar edilebileceğini detaylandırmaktadır.
Clickjacking Nedir?
Clickjacking, kullanıcıların görsel olarak zararsız görünen bir web sayfasında seriler halinde harekete geçmeye ikna edilip, aslında kötü niyetli eylemler gerçekleştirmesini sağlayan bir saldırı türüdür. Bu tür saldırılarda, kullanıcılar bir butona tıkladıklarında, gerçekte saldırganın istediği işlemleri yerine getirmiş olurlar. Tóth’un sunduğu yeni teknik, kötü niyetli bir script aracılığıyla web sayfasındaki kullanıcı arayüzü (UI) öğelerini manipüle etmeyi içermektedir.
Bulgular ve Etkileri
Tóth’un araştırması, 11 popüler şifre yöneticisi eklentisini kapsamaktadır. Bu eklentilerin arasında 1Password, iCloud Passwords gibi büyük isimler bulunmaktadır. Bu eklentiler, milyonlarca kullanıcının verilerini korumakla yükümlü olsalar da, yeni keşfedilen DOM tabanlı clickjacking yöntemlerine karşı savunmasızdır. Saldırganlar, hedeflerine ulaşmak için sahte siteler oluşturabilir ve bu sitelere kullanıcıları tuzağa düşürebilirler.
Saldırının Gerçekleşme Şekli
Bu açığın istismar edilmesi için saldırganın sadece bir sahte site oluşturması yeterlidir. Bu sahte sitede dikkat çekici bir pop-up (örneğin, oturum açma ekranı veya çerez onay banner’ı) yer alabilir. Kullanıcı, bu pop-up’ı kapatmaya çalıştığında, eklenti otomatik olarak gerekli bilgileri doldurur ve bu bilgiler uzaktaki bir sunucuya yönlendirilir. Tóth, “Tüm şifre yöneticileri, yalnızca ‘ana’ alan adına değil, aynı zamanda tüm alt alan adlarına da kimlik bilgilerini doldurmuştur” demiştir. Bu durum, saldırganların kolaylıkla Cross-Site Scripting (XSS) gibi saldırılarla kullanıcı verilerine ulaşmasını sağlayabilir.
Güvenlik Açıkları ve Yazılım Sağlayıcıları
Araştırmanın ardından, altı farklı şifre yöneticisi, bu açıkları gidermek için henüz bir çözüm yayınlamamıştır. Bunlar arasında:
- 1Password (Sürüm: 8.11.4.27)
- Apple iCloud Passwords (Sürüm: 3.1.25)
- Bitwarden (Sürüm: 2025.7.0)
- Enpass (Sürüm: 6.11.6)
- LastPass (Sürüm: 4.146.3)
- LogMeOnce (Sürüm: 7.12.4)
Socket adlı yazılım tedarik zinciri güvenliği firması, araştırmayı bağımsız olarak gözden geçirmiştir. Bitwarden, Enpass ve iCloud Passwords gibi bazı sağlayıcıların, açıkları gidermek için aktif bir şekilde çalıştığı bildirilmektedir. Diğer yandan, 1Password ve LastPass, durumu bilgi amaçlı olarak kategorize etmiştir.
Kullanıcılara Öneriler
Güvenlik açıkları gidermeden önce, kullanıcıların şifre yöneticileri içindeki otomatik doldurma fonksiyonunu devre dışı bırakmaları ve yalnızca kopyalama/yapıştır yöntemini kullanmaları önerilmektedir. Ayrıca, Chromium tabanlı tarayıcı kullanıcılarının, uzantı ayarlarında site erişimini ‘tıklama ile’ şeklinde yapılandırmaları, otomatik doldurma işlevini takip etmelerine yardımcı olabilir. Bu düzenleme, kullanıcıların hangi durumlarda bilgilerin otomatik olarak doldurulacağını kontrol edebilmesini sağlamaktadır.
Sonuç olarak, dijital güvenliğimiz için önemli bir araç olan şifre yöneticileri, doğru bir şekilde kullanılmadığında ciddi güvenlik açıklarına yol açabilir. Bu nedenle, kullanıcıların bu tür araçları kullanırken dikkatli olmaları ve sürekli güncellemeleri takip etmeleri gerekmektedir. Unutulmamalıdır ki, siber güvenlik bir bütün olarak çevremizde var; bu yüzden her daim tetikte olmak ve güvenlik önlemlerine tam anlamıyla uymak önemlidir.
