Teknoloji dünyasında heyecan yaratan yenilikler, bazen abartılı iddialarla gölgelenebiliyor. Özellikle güvenlik hizmetleri sunan firmaların pazarlama stratejileri, bu tür iddiaların kaynağı olabiliyor. Son olarak, tarayıcı ve istemci uygulamalarını güvence altına alan hizmetler sunan bir teknoloji girişimi tarafından yayınlanan bir araştırma, passkey'lerin vaat ettiği güvenliği baltalayan büyük bir zafiyet bulunduğu iddiasını ortaya attı.
Bu araştırma, daha önce bir konferansta sergilenen bir saldırı türüne dayanıyor. Saldırı, daha önce sosyal mühendislik yoluyla bulaştırılmış kötü amaçlı bir tarayıcı eklentisi kullanılarak gerçekleştiriliyor. Bu eklenti, Gmail, Microsoft 365 gibi binlerce site tarafından benimsenen yeni kimlik doğrulama yöntemi olan passkey oluşturma sürecini hedef alıyor.
Arka planda çalışan bu eklenti, geçerli bir domain'e (örneğin gmail.com) bağlı bir anahtar çifti oluşturulmasını sağlıyor. Ancak bu anahtar çifti kötü amaçlı yazılım tarafından üretiliyor ve saldırganın kontrolünde oluyor. Bu sayede saldırgan, hassas operasyonlarda kullanılan bulut uygulamalarına erişim sağlıyor.
Araştırmacılara göre bu buluş, passkey'lerin çalınamayacağı mitini yıkarak, passkey çalmanın geleneksel kimlik bilgisi çalma kadar kolay olduğunu gösteriyor. Bu durum, passkey'lerin daha güvenli görünmesinin ardında, henüz onlarca yıllık güvenlik araştırması ve zorlu testlerden geçmemiş yeni bir teknoloji algısının yattığına işaret ediyor.
Passkey'ler, küresel çapta yüzlerce şirketin oluşturduğu FIDO (Fast IDentity Online) Alliance tarafından hazırlanan standartların temel bir parçasıdır. Bir passkey, ES256 veya benzeri zamanla test edilmiş kriptografik algoritmalar kullanan bir genel-özel anahtar çiftidir. Kayıt işlemi sırasında, kullanıcı tarafından kaydedilen her web sitesi için benzersiz bir anahtar çifti oluşturulur ve bu anahtar çifti o siteye kriptografik olarak bağlanır. Web sitesi genel anahtarı saklar. Özel anahtar ise kullanıcının akıllı telefonu, özel güvenlik anahtarı veya başka bir cihazı gibi kimlik doğrulama cihazında güvenli bir şekilde kalır.
Kullanıcı oturum açtığında, web sitesi kullanıcıya rastgele bir veri dizisi gönderir. Kimlik doğrulama cihazı, web sitesi domain'ine bağlı özel anahtarı kullanarak bu veriyi kriptografik olarak imzalar. Tarayıcı daha sonra imzalanmış veriyi web sitesine geri gönderir. Site, kullanıcının genel anahtarını kullanarak verinin özel anahtarla imzalandığını doğrular. İmza geçerliyse, kullanıcı oturum açmış olur. Tüm bu süreç genellikle şifre ile oturum açmaktan daha hızlıdır.
Passkey'lerin yaygın kullanıma hazır hale gelmesi için daha kat edilmesi gereken yol olduğu biliniyor. Passkey'ler farklı platformlar arasında her zaman iyi çalışmayabiliyor ve henüz yalnızca passkey ile giriş yapmaya izin veren ve şifreyi yedek olarak gerektirmeyen bir hizmet bulunmuyor. Saldırganlar hala kullanıcıların şifrelerini çalabiliyorsa, passkey'lerin sağladığı faydanın önemli bir kısmı ortadan kalkıyor.
Bununla birlikte, passkey'ler, on yıllardır kullanıcıları ve çevrimiçi hizmetleri etkileyen hesap ele geçirme türlerine karşı bugüne kadarki en dirençli kimlik doğrulama alternatifi sunuyor. Şifrelerin aksine, passkey anahtar çiftleri kimlik avı ile çalınamaz. Kullanıcı sahte bir Gmail sayfasına yönlendirilse bile, gerçek gmail.com domain'ine bağlı olduğu için passkey çalışmayacaktır. Passkey'ler, kendilerini güvenilir BT personeli olarak tanıtan saldırganların telefon görüşmeleri veya metin mesajları yoluyla açıklanamaz. Ağ üzerinden dinlenemez. Veritabanı ihlallerinde sızdırılamaz. Şu ana kadar FIDO spesifikasyonunda herhangi bir güvenlik açığı rapor edilmemiştir.
SquareX firması şimdi tüm bunların değiştiğini, çünkü passkey kayıt sürecini ele geçirebilecek bir yol bulduğunu iddia ediyor. Bu iddialar, FIDO spesifikasyonuna aşina olmamaya, hatalı mantığa ve genel olarak güvenliğe dair temel bir anlayış eksikliğine dayanıyor.
Öncelikle, Passkeys Pwned'in passkey'lerin çalınabileceğini gösterdiği iddiası tamamen yanlış. Eğer hedef kullanıcı daha önce Gmail için bir passkey kaydettiyse, bu anahtar kimlik doğrulama cihazında güvenli bir şekilde saklanmaya devam edecektir. Saldırgan asla onu çalmaya yaklaşamaz. Kötü amaçlı yazılım kullanarak kayıt sürecini ele geçirmek tamamen farklı bir durumdur. Eğer bir kullanıcının zaten kayıtlı bir passkey'i varsa, Passkeys Pwned oturum açmayı engelleyecek ve kullanıcıyı yeni bir passkey kaydetmeye teşvik eden bir hata mesajı döndürecektir. Kullanıcı tuzağa düşerse, yeni anahtar saldırganın kontrolünde olacaktır. Hiçbir passkey çalınmamaktadır.
Araştırma ayrıca, FIDO spesifikasyonunun, passkey'lerin işletim sisteminin veya üzerinde çalışan tarayıcının ele geçirilmesine dayanan saldırılara karşı herhangi bir savunma sağlamadığını ve dolayısıyla FIDO tehdit modelinin bir parçası olmadığını açıkça belirttiğini dikkate almıyor.
Standart belgesinin 6. bölümü, passkey'lerin güven modeliyle ilişkili belirli “güvenlik varsayımlarını” listelemektedir. SA-3, “kullanıcı cihazındaki uygulamaların güvenilir sunucu kimlik doğrulaması ile gizlilik ve mesaj bütünlüğü sağlayan güvenli kanallar kurabildiği” belirtir. SA-4, “FIDO kullanıcı cihazındaki bilgi işlem ortamının ve FIDO operasyonunda yer alan uygulamaların kullanıcının güvenilir temsilcileri olarak hareket ettiği”ni savunur. WebAuthn, FIDO'nun öncülü olan standart, aynı sağduyulu sınırlamaya işaret eder.
Tanım gereği, kötü amaçlı yazılımla enfekte olmuş bir tarayıcıya dayanan bir saldırı, passkey'lerin sağlanması için tasarlanan korumaların kapsamının çok dışındadır. Eğer passkey'ler üzerinde çalıştıkları uç noktanın ele geçirilmesine dayanamadıkları için zayıfsa, TLS şifrelemesinde ve Signal gibi mesajlaşma uygulamalarındaki uçtan uca şifrelemede, hatta SquareX hizmetlerinin kendisinin güvenliğinde varsaydığımız korumalar da öyledir. Perşembe günkü inceleme yazısı, SquareX platformu için bir pazarlama içeriği de içererek kendini daha da itibarsızlaştırıyor.
Bankacılık, sağlık hizmetleri ve savunma kuruluşları için çalışan bir güvenlik mühendisi olan Kenn White, kişisel görüşünün bunun şüpheli bir ürün satış konuşması gibi göründüğünü belirterek, “Sosyal mühendislikle kötü niyetli bir eklenti eklemeye ikna olursanız, tüm web güven modelleri bozulur. Katıldığım konferans program komitelerinde böyle bir gönderinin ilk turda eleneceğini biliyorum” dedi.
SquareX'in baş geliştiricisi Shourya Pratap Singh ile yaptığı bir röportajda bu eleştirileri sıraladığını belirtiyor. Singh, Passkeys Pwned'in saldırgan kontrolündeki bir passkey'i geçerli bir siteye bağladığı için “passkey'in etkili bir şekilde çalındığını” savunmaya devam etti. Ayrıca, araştırmasının iyi düşünülmemiş gibi göründüğünü söylediğinde veya FIDO standardının, TLS ve SSH gibi diğer standartlar gibi, trojan enfeksiyonlarına dayanan saldırıları açıkça dışladığını belirttiğinde üstü kapalı bir şekilde tepki gösterdi.
Singh şunları yazdı:
Passkeys Pwned araştırması, başka bir güvenlik şirketinin FIDO tabanlı iki faktörlü kimlik doğrulamayı atlayan bir saldırı geliştirdiğini iddia ettikten sonra, ancak bu iddiayı hızla geri çektikten haftalar sonra sunuldu. Aslında, saldırıya uğrayan siteler FIDO'yu yalnızca 2FA'nın bir yöntemi olarak sundular, ancak aynı zamanda diğer, daha az güvenli 2FA biçimlerine de izin verdiler. Saldırılar, FIDO tarafından belirtilen biçime değil, diğer biçimlere saldırdı. Siteler daha zayıf 2FA biçimlerine geri dönülmesine izin vermeseydi, saldırı başarısız olurdu.
SquareX, passkey'lerin daha geleneksel kimlik doğrulama biçimleri gibi on yıllarca süren güvenlik araştırmalarına dayanmadığını söylemekte haklı. FIDO spesifikasyonunda veya uygulamalarından herhangi birinde açıklar bulunması çok muhtemeldir. Ancak şimdilik, passkey'ler kimlik avı, şifre tekrarı ve veritabanı ihlalleri gibi saldırılara karşı en iyi savunmayı oluşturmaya devam ediyor.
