Siber güvenlik araştırmacıları, OpenAI tarafından geliştirilen yapay zeka destekli ChatGPT Atlas tarayıcısında kullanıcıların sistemlerini kalıcı şekilde ele geçirmeye olanak tanıyan kritik bir güvenlik açığı tespit etti. Yeni açık, saldırganların tarayıcıya gizli komutlar yerleştirerek kullanıcı hesaplarına erişim sağlamasına ve zararlı yazılım dağıtmasına kapı aralıyor.
Bellek özelliği üzerinden kalıcı sızma
Güvenlik açığının temelinde, çapraz site istek sahteciliği (CSRF) zafiyeti yer alıyor. Bu açık saldırganlara tarayıcının kalıcı hafızasına kötü amaçlı komutlar enjekte etme imkanı veriyor. Zararlı komutlar sisteme bir kez yerleştiğinde oturumlar ve cihazlar arasında taşınabiliyor. Böylece kullanıcı tarayıcıyı meşru bir işlem için kullandığında, arka planda saldırganın komutları devreye girerek hesaba veya sisteme yetkisiz erişim sağlanabiliyor.
LayerX Security kurucu ortağı Or Eshed tarafından paylaşılan bilgilere göre, açık saldırganlara sistem enfeksiyonu başlatma, erişim ayrıcalıklarını yükseltme veya zararlı yazılım yükleme gibi yetenekler kazandırıyor. Açığın en tehlikeli yönü ise yalnızca aktif tarayıcı oturumlarını değil, ChatGPT’nin kalıcı hafıza yapısını hedef alması. Bu durum, sıradan bir tarayıcı açığından farklı olarak, kullanıcı tarayıcıyı kapatıp yeniden açsa veya başka bir cihazdan giriş yapsa bile saldırının devam edebilmesine neden oluyor.
Kalıcı hafıza özelliği, OpenAI tarafından 2024 yılında tanıtılmıştı. Bu özellik, yapay zekanın kullanıcılar hakkında önceki oturumlardan bilgi hatırlamasına ve daha kişisel yanıtlar vermesine olanak tanıyor. Kullanıcı adı, ilgi alanları, renk tercihleri veya beslenme alışkanlıkları gibi bilgiler bu bellekte saklanabiliyor. Ancak yeni açık, bu özelliğin saldırganlar tarafından kalıcı bir arka kapı olarak kullanılmasına yol açıyor.
LayerX’in güvenlik araştırma ekibi başkanı Michelle Levy, standart bir CSRF saldırısının bellek yazma süreciyle birleştirildiğinde saldırganın görünmez şekilde kalıcı komut yerleştirebildiğini belirtti. Yapılan testlerde, belleğe bulaşan zararlı komutlar sonrasında normal kullanıcı komutları bile veri sızdırma veya kod çalıştırma işlemlerini tetikleyebildi.
Saldırı zinciri oldukça basit ilerliyor. Önce kullanıcı ChatGPT Atlas tarayıcısına giriş yapıyor. Ardından sosyal mühendislik yöntemiyle hazırlanmış bir bağlantıya tıklaması sağlanıyor. Bu bağlantı, kullanıcının oturumunun açık olmasından faydalanarak CSRF isteği aracılığıyla belleğe zararlı komutları enjekte ediyor. Sonraki her normal etkileşimde bu komutlar devreye girerek sisteme erişim sağlıyor.
LayerX’in laboratuvar testlerine göre, Atlas tarayıcısında kimlik avı saldırılarına karşı koruma oranı yalnızca %5,8 seviyesinde kaldı. Karşılaştırma yapıldığında Microsoft Edge %53, Google Chrome %47 ve Dia tarayıcısı %46 oranında tehditleri engelleyebildi. Bu fark, Atlas kullanıcılarının bilinen tarayıcılara göre çok daha yüksek risk altında olduğunu gösteriyor.
Açığın ortaya çıkmasından kısa süre önce NeuralTrust, Atlas’ın omnibox alanına zararlı istemler gizleyerek tarayıcıyı “prompt injection” yöntemiyle kandıran bir saldırı senaryosunu da göstermişti. Bu durum, yapay zeka destekli tarayıcıların siber saldırılarda yeni bir vektör haline geldiğini kanıtlıyor.
Güvenlik uzmanları, tarayıcıların artık yalnızca birer internet gezinti aracı değil, kimlik, uygulama ve yapay zekanın birleştiği yeni bir saldırı yüzeyi haline geldiğini belirtiyor. “Tainted Memories” (Zehirli Hafızalar) olarak adlandırılan bu açık, kullanıcı verilerinin gelecekteki oturumlara kadar taşınarak istismar edilmesine yol açıyor. Bu gelişme, yapay zeka destekli tarayıcıların siber güvenlik açısından klasik tarayıcılardan çok daha dikkatli izlenmesi gerektiğini bir kez daha ortaya koyuyor.
