Yönetici Özeti

SlowMist CISO 23pds, WebAuthn anahtar tabanlı oturum açma sisteminde önemli bir güvenlik açığı tespit etti. Bu istismar, saldırganların kötü amaçlı tarayıcı uzantıları veya siteler arası komut dosyası (XSS) güvenlik açıkları aracılığıyla WebAuthn API'yi ele geçirmesine olanak tanıyor. Saldırı, parola tabanlı oturum açmaya geçişi zorlayarak veya anahtar kayıt sürecini manipüle ederek kullanıcı kimlik bilgilerinin çalınmasına yol açıyor. Önemlisi, bu yöntem fiziksel cihaz erişimine veya biyometrik kimlik doğrulamasına gerek duymuyor, bu da WebAuthn kullanan platformlar için ciddi bir risk oluşturuyor ve Web3 ekosistemi içindeki sistemik güvenlik sorunlarını vurguluyor.

Olay Detayı

SlowMist'in Bilgi Güvenliği Baş Sorumlusu 23pds, yeni bir WebAuthn anahtar oturum açma atlatma saldırısını ortaya çıkardı. Bu yöntem, kötü amaçlı tarayıcı uzantılarını veya güvenliği ihlal edilmiş web sitelerindeki XSS güvenlik açıklarını kullanarak WebAuthn API'yi istismar ediyor. Saldırının mekanizması, daha az güvenli parola tabanlı oturum açmalara zorlama veya anahtar kayıt sürecini manipüle ederek kullanıcı kimlik bilgilerini gizlice elde etmeyi içeriyor. Bu güvenlik açığının temel bir özelliği, kurbanın cihazına fiziksel erişim veya Face ID veya Touch ID gibi biyometrik kimlik doğrulayıcılarla etkileşim gerektirmeden çalışabilmesidir.

DEF CON'da gösterilen "Passkeys Pwned" saldırısı, bunun WebAuthn içindeki bir uygulama kusuru olduğunu, standardın kendisinin kriptografik bir zayıflığı olmadığını veya FIDO Alliance'a yönelik bir eleştiri olmadığını daha da açıklığa kavuşturuyor. Saldırganlar, geçiş anahtarı kaydı ve kimlik doğrulama yanıtlarını taklit etmek için WebAuthn API çağrılarını vekaleten kullanabilirler. Bu, CDN saldırıları, XSS ve kötü amaçlı tarayıcı uzantıları dahil olmak üzere yaygın web tehditlerinin, kullanıcının uç noktasını, işletim sistemini veya tarayıcısını doğrudan tehlikeye atmadan bile geçiş anahtarları aracılığıyla yetkisiz erişimi kolaylaştırabileceğini gösteriyor.

Piyasa Etkileri

Bu WebAuthn güvenlik açığının keşfi, dijital ortamda, özellikle de Web3 ekosisteminde gelişmiş güvenlik uyanıklığına acil bir ihtiyaç olduğunu gösteriyor. Yaygın olarak istismar edilirse, bu "Kimlik Bilgisi Düşürme Saldırısı", yüz milyonlarca dolarlık dijital varlıklar üzerinde potansiyel etkiler tahminleriyle önemli ölçüde kimlik bilgisi hırsızlığına ve büyük varlık kaybına yol açabilir. Bu senaryo, Ledger Connect Kit CDN güvenlik açığı gibi önceki tedarik zinciri risklerini yansıtmaktadır ve 2025'in ilk yarısında 1,6 milyar dolarlık kayıplara - çalınan tüm fonların neredeyse %70'ine - yol açan Web3'teki erişim kontrolü başarısızlıklarının devam eden yaygınlığını vurguluyor.

Yaygın kimlik taklidi ve hesap ihlali potansiyeli, kullanıcıların şu anda güvenli olarak algılanan kimlik doğrulama yöntemlerine olan güvenini ciddi şekilde azaltabilir. Etkilenen işletmeler ve geliştiriciler, kullanıcı varlıklarını korumak ve güveni sürdürmek için WebAuthn uygulamalarını gözden geçirme ve hafifletici önlemler uygulama konusunda acil bir görevle karşı karşıyadır.

Uzman Yorumu

SlowMist'ten 23pds, fiziksel cihaz erişimi gerektirmeden kimlik bilgisi hırsızlığı potansiyelini vurgulayarak bu kritik WebAuthn güvenlik açığına ilk kez dikkat çekti. Daha sonra SquareX Labs, DEF CON'daki "Passkeys Pwned" sunumları aracılığıyla saldırının doğasını detaylandırarak, bunu CDN saldırıları, XSS ve tarayıcı uzantıları gibi yaygın web tehditlerinden yararlanan bir uygulama kusuru olarak tanımladı.

Ayrı olarak, ChainGuard, WebAuthn güvenlik açığının mekanikleriyle uyumlu olan ve daha az güvenli parola tabanlı erişimi zorlayarak özel anahtarların çalınmasını kolaylaştıran Web3 kimlik doğrulama protokollerini etkileyen daha geniş bir "Kimlik Bilgisi Düşürme Saldırısı" hakkında bir uyarı yayınladı. Bu tehditlere karşı koymak için güvenlik uzmanları, kötü amaçlı komut dosyalarını titizlikle inceleyip engelleyerek tarayıcıları güçlendirmek, beyaz listede olmayan sitelerin veya uzantıların WebAuthn API'lerine erişmesini engellemek ve geçiş anahtarları kullanan tüm Kimlik Sağlayıcıları için Çok Faktörlü Kimlik Doğrulama (MFA) uygulamak dahil olmak üzere acil eylemler önermektedir.

Daha Geniş Bağlam

WebAuthn, W3C ve FIDO Alliance tarafından geliştirilen ortak bir standarttır ve açık anahtar kriptografisi kullanımı yoluyla parolasız ve kimlik avı önleyici kimlik doğrulamasına yönelik önemli bir ilerlemeyi temsil eder. Sağlam tasarımına rağmen, merkezi bağımlı taraflara mevcut bağımlılık, Web3'ün merkeziyetsiz ilkeleri için felsefi ve pratik bir zorluk teşkil etmektedir.

Bu olay, Web3 alanında devam eden erişim kontrolü başarısızlıkları sorununu vurgulamakta ve bu durum istismarlar için birincil vektör olmaya devam etmektedir. Ayrıca, Web3 güvenliğinin daha geniş tablosu, kullanıcıların kötü amaçlı işlemleri bilmeden imzalamaya kandırıldığı "kör mesaj saldırıları" gibi güvenlik açıklarıyla da mücadele etmektedir; bu tür saldırıların, test edilen Web3 kimlik doğrulama dağıtımlarının %75,8'ini riske attığı bulunmuştur. Devam eden tehditler, güçlü güvenlik çerçeveleri, tutarlı izin kontrolleri ve ortaya çıkan saldırı vektörlerine sürekli uyum gerektirmektedir ve bu da Web3 ekosisteminin dayanıklılığını artırmak için tamamen merkeziyetsiz ve eşler arası kimlik doğrulama çözümlerinin geliştirilmesini ve benimsenmesini hızlandırabilir.