Ozgur's Blog

Random ramblings of personal nature

Xfinity İnternetime Ortadaki Adam saldırısı yapıyor


Bu yakınlarda Colorado eyaletinin Fort Collins şehrine taşındım. Bu beraberinde yeni bir internet sağlayıcı anlamına geliyordu. Ne yazık ki gelecek yılın başına kadar bölgedeki tek ISP Xfinity (Comcast) olduğundan onlardan hizmet aldım. Comcast hakkında beraber çalıştığım insanlardan korku hikayeleri duymuştum ancak kablosuz internet servis sağlayıcıları için faturalama ve ağ konularında yazılım ve donanım üreten bir firmada çalıştıktan sonra bu duyduklarımdan şüpheliydim; herkesin kendi servis sağlayıcısı ile sorunu var gibi düşünmüştüm.

Bilmediğim şey onların düzenli biçimde kendi müşterilerini hackledikleriydi. İkinci ay, beni ortadaki adam saldırsı ve DOM enjeksiyonu ile kullanım kotamın (Comcast'ın hala kullanım kotası var evet. Ama Fiyatlandırma 1999'lardan gelir gibi.) %90'a geldiğini bildirdiler.

581 satır JavaScript kodu enjekte ettiler ve bu da zaten azalmış olan kullanım kotamda toplamda 48.5 kb'a maloldu, dahası sayfalarım 250 milisaniye daha yavaş açıldı. Yani kısacası internetim öncesine kıyasla daha hızlı olsa bile, bilgisayarım Xfinity internet servisini kullanırken daha yavaş hale geldi.

Güvensiz

Websitelerine içerik enjekte etmek sadece ahlaki olarak değil teknik olarak da çok tehlikeli bir şey.

Xfinity'in muhtelif web sayfalarına içerik enjekte edeceği beklentisini yaratarak Xfinity sayfaların Xfinity gibi davranmasına izin veriyor. İyi haber şu ki orijinal RFC bildirimin kullanıcı bilgileri istememesini özellikle belirtiyor:

yaygın yemleme tekniklerinden olduğu için bildirim kullanıcı bilgilerini ve kullanıcının bir linke tıklayarak şifresini değiştirmesini istememeli - RFC 6108

Yani hackerlar sizden kullanıcı adınızı ve şifrenizi isteyemeyecekler değil mi? Yanlış, hackerlar genelde kurallara uyan kişiler değildirler...

Herhangi bir kötü niyetli web sayfası geliştiricisi buradan erişilebilir kodu kopyalayabilir. Bu kod GNU/GPLv3 altında lisanslanmış olup başka kullanıcıların üzerinde değişiklik yapmasına izin verilmiştir.

Bedensel Engeli Olan Kullanıcılar Erişemez

Xfinity'nin enjekte edilen saldırı kodu Google Web Geliştirme Standartlarını takip etmediği için ekran okuyucusu veya klavye öncelikli gezintiyi kullanan kullanıcılar için korkunç bir deneyime yolaçıyor.

Bu saldırı tab düzenini tamamen bozarak, internete erişmek için yazılım yardımına ihtiyaç duyan kullanıcılara interneti tamamen kullanılmaz hale getiriyor. Ek olarak genelde çıkan mesajları kapatmak için kullanılan "Escape" tuşu Xfinity bildirimini kapatmıyor.

Günlük hayatlarını idame ettirmek için internete ihtiyaç duyan kullanıcılar için bu büyük sorunlar doğurabilir ve uç örneklerde hayati tehlikeye yolaçabilecek durumlar yaratabilir.

Bu kanca Xfinity çalışanlarının eğer isterseler kötü niyetli biçimde davranmalarına da izin veriyor.

Comcast'ın serverları vasıtasıyla yapılabilecek birkaç şeyi listelersek

  • Erişilen bir web sayfasının içeriğini değiştirmek.
  • Ortadaki adam saldırısı gerçekleştirebilecek dış kaynakların oluşmasıyla sonuçlanacak şekilde açığın kullanılması.
  • Oturum kaçırma: Giriş yapmış olduğunuz oturumu kaçırarak sizin profilinizde siz gibi davranmak.
  • İstemci koklama: İçinde işletim sisteminiz ve istemci tipinizin de olduğu, bilgisayarınızın muhtelif bilgilerine erişim.

Eski Programları Kırar

Bu büyük bir kişisel yatırım kaybıyla sonuçlandı.

Son olarak bu enjeksiyon yaygın eski programları kırmakta. Buna örnek olarak eski bir apt-get deposunun beklemediği içerik geldiğinde tıkanmasını verebilirim. Bu büyük bir kişisel yatırım kaybıyla sonuçlandı zira bu zaman diliminde internetimi kullanamadım.

Ek verinin indirilmesiyle sonuçlanır

Veri kullanım planınızın %90'ını kullandınız" - ancak sizi 50kb daha indirmeye zorlayacağz ki bizim zafer dolu aşım ücretlerine yaklaşasınız

Yaptığınız her isteğe Comcast 50kb daha ekliyor. Sizi veri kotanızı aşmaya yakın olduğunuzu uyarmak için sizin kotanızdan yiyorlar.

Bu aynı zamanda web sitelerinin daha yavaş yüklenmesine neden oluyor. Kodun uygulanma biçimi yüzünden sayfaların yüklenmesini 250ms yavaşlatıyor ve bu da daha yavaş bir internet deneyimine neden oluyor.

Sevgili Xfinity,

Lütfen web isteklerime yabancı içerik enjekte etme. Bu yapılan kötü bir deneyim ve erişilebilirlik sunmanın yanısıra hem güvenlik endişeleri hem de ciddi gizlilik sıkıntıları yaratmakta.

E-postamı biliyorsunuz. E-posta yaygın olarak saygı gören bir iletişim biçimi.

Ek olarak evime hizmet verdiğiniz için adresimi de biliyorsunuz. Posta, ABD hükümeti tarafından saygı duyulan standart bir iletişim biçimi.

Lütfen kendi müşterilerinizi hacklemeyin.

Lütfen internet hizmetinizi daha güvenli hale getirmek için yardım edin.

Sevgiler, Alex

Link: https://rietta.com/blog/comcast-insecure-injection/