Ünlü Ethereum Name Service (ENS) mühendisi Nick Johnson, Google’ın altyapısındaki zayıf noktaları hedef alan ve yakın zamanda yamalanan bir OAuth açığından yararlanan kurnaz bir oltalama kampanyasını ortaya çıkardı.
ENS Baş Geliştiricisi, Dolandırıcıların Resmi Google Uyarılarını Taklit Etmesine İzin Veren Bir Kusuru Ortaya Çıkardı
YAZAN
PAYLAŞ
Google’un Savunması Zayıf: ENS Mühendisi Oltalama İstismarını Takip Ediyor
Johnson’ın tanıklığına göre plan, hedeflere hesap verilerini talep eden bir mahkeme celbi bildiren resmi görünen bir Google uyarısı tarafından gönderilmiş gibi görünen ikna edici bir e‑posta ile başladı. Gerçek bir DKIM anahtarı ile imzalanmış ve Google’ın resmi yanıt verilmez alanından kaynaklanan bildirim, Gmail’in filtrelerinden kolayca geçti ve meşru uyarılar arasında yer aldı.
Johnson, bu e‑postanın güvenilirliğinin, bir Google oturum açma sayfasını yansıtan sahte bir destek portalına yönlendiren sites.google.com bağlantısıyla daha da arttığını gözlemledi. Geliştirici, aldatmacanın Google Sites’ın keyfi komut dosyalarına izin vermesi sayesinde, suçluların kimlik bilgilerini çalan sayfalar oluşturabildiği ve OAuth zayıflığına dayandığını belirtti.
Saldırganlar yeni bir alan adı kaydederek bir Google hesabı açtı ve adını oltalama e‑postasının başlığıyla aynı yapan bir OAuth uygulaması oluşturdu. Bir kurban erişim izni verdiğinde, Google otomatik olarak tamamen imzalanmış ve meşru bir güvenlik uyarı e-postası oluşturdu ve saldırganlar bunu avlarına yönlendirdi.
Johnson, Google‘ı, açığı “tam olarak amaçlandığı gibi çalışıyor” olarak öngörmezden geldiği için eleştirdi ve bu boşluğun ciddi bir tehlike oluşturduğunu savundu. Sahte portalın sites.google.com’a dayanması, güvenilir alanın kötü niyetleri saklaması nedeniyle kullanıcıları daha da yanılttı. Google’ın Sites için taciz raporlama sistemindeki zayıflıklar, kaldırma çabalarını yavaşlatarak sorunu daha da derinleştirdi.
Kamu baskısı arttıktan sonra Google, sorunu kabul etti ve Johnson, sonrasında teknoloji firmasının OAuth açığını gidereceğini doğruladı. Bu olay, saygı duyulan platformlardan yararlanarak savunmaları aşan oltalamanın artan becerisini gözler önüne seriyor.
Güvenlik uzmanları, kullanıcıları beklenmedik yasal yazışmaları sorgulamaya ve kimlik bilgilerini yazmadan önce URL’leri iki kez kontrol etmeye çağırarak dikkatli olunması yönünde uyarıyor. Google, açığın ya da onarım takvimi hakkında henüz kamuya bir açıklama yapmadı. Olay, düşmanların saygın hizmetleri silah haline getirmesiyle oltalamaya karşı süren geniş çaplı mücadeleyi ortaya koyuyor.
