Oyun odaklı tarayıcı Opera GX, kötü niyetli sitelerin kullanıcıların ziyaret ettiği sayfalardan veri toplamak için otomatik mod yüklemesine izin veren kritik bir güvenlik açığı taşıyordu. Bu açık sayesinde, kullanıcı herhangi bir butona tıklamadan, zararlı bir web sitesi tarayıcıya gizlice eklenti kurabiliyor ve bu eklenti üzerinden hassas bilgiler elde edilebiliyordu.
Saldırı Yöntemi ve Teknik Detaylar
Opera GX modları aslında tarayıcının görünümünü kişiselleştirmek için kullanılıyor; tema, ses, arka plan ve CSS gibi özelliklerle kullanıcı deneyimini özelleştiriyorlar. Ancak bu modlar JavaScript çalıştıramıyor ve hiçbir izin talep etmiyorlar. Sorun, modların otomatik ve onaysız şekilde yüklenmesiyle ortaya çıkıyor. Kötü amaçlı bir site, görünmez bir iframe içinde mod dosyasını (.crx) çağırarak yükleme işlemini tamamlıyor. Kullanıcıya ise sadece adres çubuğunun altında modun yüklendiğini belirten bir bildirim çıkıyor.
Önceki yıllarda benzer otomatik yükleme zafiyetleri tespit edilse de Opera, Mart 2023’te bir saldırı vektörünü kapattı ancak otomatik yükleme mekanizmasını tamamen kaldırmadı. Bu yeni keşif, aynı yöntemi kullanarak CSS aracılığıyla evrensel bir stil enjeksiyonu yapıyor. Normalde CSS sadece bulunduğu sayfada etkilidir, ancak burada modun CSS kodları tüm ziyaret edilen web sitelerine uygulanabiliyor.
Veri Sızıntısı Nasıl Gerçekleşiyor?
CSS tek başına sayfa içeriğini okuyamaz veya dışarı veri gönderemez. Fakat saldırı, CSS’nin HTML elementlerinin özelliklerini sırayla test eden seçicilerle (attribute selectors) çalışıyor. Örneğin, gizli bir e-posta alanının karakterlerini harf harf kontrol edip, saldırgan sunucusundan arka plan resmi isteği yaparak veri sızdırılıyor. Bu teknik “XS-Leak” olarak anılıyor ve Gmail adresini elde etmek için yaklaşık 150 bin CSS kuralı kullanıldı.
Kullanıcı saldırganın sayfasına girdiğinde, mod saniyeler içinde yükleniyor ve kısa bir JavaScript koduyla kullanıcı Google hesap sayfasına yönlendiriliyor. Modun CSS kodları burada aktif hale gelerek e-posta adresini sızdırmaya başlıyor; üstelik kullanıcı bildirimi okuyup mod kaldır düğmesine tıklamadan önce.
Ek Olarak Tarayıcı Çökmesine Neden Olan Bir Etki
Aynı otomatik yükleme mekanizması, gizli (Incognito) modda bir mod dosyası yüklenmeye çalışıldığında tarayıcının çökmesine ve açık sekmelerin kapanmasına yol açıyor. Bu sorun sadece Opera GX değil, standart Opera sürümü için de geçerli çünkü mod yükleme süreci tüm .crx dosyalarını aynı şekilde işliyor.
Saldırının Ciddiyeti ve Yanıt Süreci
Bu güvenlik açığı, Opera’nın ödül programında başlangıçta yanlış değerlendirilip orta seviyede (P3) puanlanmıştı. Ancak araştırmacılar, saldırının etkisini göstermek için test sırasında analiz yapan kişilerin kendi Gmail adreslerini bile sızdırmayı başardı. Bu gelişme sonrası konu öncelikli (P1) olarak revize edildi ve maksimum 5.000 dolar ödül verildi.
Opera durumu “saldırının gerçekleştiğine dair kanıt bulunmaması ve karmaşık bir senaryo gerektirmesi” nedeniyle hafifletmeye çalışsa da, otomatik mod yüklemesinin getirdiği risk göz ardı edilemez. Kullanıcının herhangi bir işlem yapmasına gerek kalmadan veri sızdırılabiliyor olması, özellikle hedef odaklı saldırılar açısından tehlike arz ediyor.
Teknik Özet ve Güvenlik Tavsiyeleri
Bu zafiyet, imzasız modların otomatik yüklenmesi ve evrensel CSS enjeksiyonu yoluyla veri sızdırma zincirini kullanıyor. Başlangıçta kullanıcı, kötü amaçlı siteye yönlendiriliyor, mod otomatik kuruluyor, ardından hedef siteye geçiş yapılarak CSS tabanlı veri sızıntısı sağlanıyor. Bu aşamada kullanıcı müdahalesi olmuyor.
Tarayıcı yöneticileri ve SOC ekipleri için öneriler şöyle:
- Opera GX 130.0.5847.89 ve üzeri sürümlere güncelleme yapılmalı.
- Tarayıcı modlarının otomatik yüklenmesi engellenmeli veya sıkı denetim altına alınmalı.
- Web trafiği ve tarayıcı eklenti yükleme logları dikkatle izlenmeli.
- EDR çözümlerinde anormal mod yükleme veya CSS aktivitesi tespiti için kural oluşturulmalı.
- Kullanıcı eğitimleriyle, şüpheli web siteleri ve otomatik yüklemelere karşı farkındalık artırılmalı.
Bu zafiyet, özellikle e-posta güvenliği ve genel veri koruma stratejilerinde yeni riskler yaratıyor. Kurumlar, olay müdahale ve ağ segmentasyonu politikalarını gözden geçirirken, tarayıcı tabanlı atakları da daha yakından takip etmeli.
