Laman web dewasa sedang mengeksploitasi kelemahan reka bentuk asas dalam format imej SVG untuk memanipulasi interaksi media sosial tanpa persetujuan pengguna. Penyelidik keselamatan telah menemui berpuluh-puluh laman lucah yang menyematkan kod JavaScript berniat jahat di dalam fail imej SVG yang kelihatan tidak berbahaya, menjadikannya senjata untuk serangan pemalsuan permintaan merentas laman web.
Serangan ini berfungsi dengan menyembunyikan kod JavaScript yang sangat kabur di dalam fail SVG menggunakan teknik yang dipanggil JSFuck, yang menyamarkan skrip berniat jahat sebagai dinding aksara yang kelihatan rawak. Apabila pengguna mengklik pada imej yang dipasang perangkap ini, kod tersembunyi akan bertindak secara automatik, menghasilkan like Facebook untuk siaran promosi laman dewasa tersebut - semuanya tanpa pengetahuan pengguna.
Serangan Berasaskan SVG Sebelum Ini
- 2023: Penggodam pro- Russia mengeksploitasi mel web Roundcube melalui skrip merentas tapak SVG
- Jun 2024: Serangan pancingan data menggunakan fail SVG untuk mencipta skrin log masuk palsu Microsoft
- Ogos 2024: Laman web dewasa didapati menggunakan fail SVG untuk manipulasi 'like' Facebook
Fleksibiliti Berbahaya Format SVG Mencipta Mimpi Ngeri Keselamatan
Tidak seperti format imej tradisional seperti JPEG atau PNG, fail SVG menggunakan teks berasaskan XML yang boleh menggabungkan kod HTML dan JavaScript. Fleksibiliti ini pada asalnya bertujuan untuk membolehkan grafik dan animasi yang kaya, tetapi ia telah mencipta kerentanan keselamatan yang ketara yang sukar dibendung oleh pelayar dengan betul.
Perbincangan komuniti mendedahkan kekecewaan yang mendalam terhadap falsafah reka bentuk SVG. Ramai pembangun berpendapat bahawa apa yang sepatutnya menjadi format grafik vektor yang ringkas telah menjadi platform aplikasi web yang terlalu berkuasa dengan implikasi keselamatan yang serius. Keupayaan format untuk melaksanakan JavaScript menjadikannya tidak sesuai untuk laman kandungan yang dijana pengguna, dengan Wikipedia menjadi salah satu daripada beberapa platform yang menerima muat naik SVG - dan mereka pun menukar kebanyakan SVG kepada imej PNG untuk keselamatan.
Berasaskan XML: Bahasa penanda yang menggunakan tag untuk menstruktur data, serupa dengan HTMLPemalsuan permintaan merentas laman web (CSRF): Serangan yang memperdaya pengguna untuk melakukan tindakan yang tidak diingini pada laman web di mana mereka telah disahkan
Langkah Keselamatan Pelayar Tidak Mencukupi
Serangan ini menyerlahkan jurang ketara dalam seni bina keselamatan pelayar moden. Walaupun bertahun-tahun pembangunan tertumpu pada mengasingkan domain antara satu sama lain, fail SVG masih boleh melaksanakan JavaScript yang berinteraksi dengan laman web lain apabila pengguna log masuk ke perkhidmatan seperti Facebook.
Pelayar memang menawarkan sedikit perlindungan dengan melayan fail SVG secara berbeza bergantung pada cara ia disematkan. Apabila dimuatkan melalui tag <img>, JavaScript tidak akan dilaksanakan, tetapi apabila disematkan melalui tag <iframe> atau <object>, skrip boleh berjalan dengan bebas. Walau bagaimanapun, tingkah laku yang tidak konsisten ini mengelirukan kedua-dua pembangun dan sistem keselamatan.
Komuniti teknikal telah bertindak balas dengan mengesyorkan penyekatan JavaScript yang agresif melalui sambungan pelayar seperti NoScript dan uBlock Origin. Walaupun alat ini memerlukan masa persediaan yang ketara dan boleh merosakkan fungsi laman web, pengguna berpengalaman melaporkan bahawa ia berkesan mencegah serangan sedemikian sambil sering meningkatkan kelajuan pemuatan halaman dengan menyekat skrip pihak ketiga yang tidak perlu.
Kaedah Pembenaman SVG dan Pelaksanaan JavaScript
- Tag
<img>: JavaScript dilumpuhkan (selamat) - Tag
<iframe>: JavaScript diaktifkan (terdedah) - Tag
<object>: JavaScript diaktifkan (terdedah) - Elemen SVG sebaris: JavaScript diaktifkan (terdedah)
Peranan Facebook dalam Membolehkan Serangan
Kejayaan serangan ini bergantung pada fungsi butang like Facebook, yang kelihatan terdedah kepada serangan CSRF apabila pengguna kekal log masuk ke akaun mereka. Pengkritik menunjukkan bahawa Facebook boleh melaksanakan perlindungan yang lebih kuat terhadap interaksi automatik, tetapi syarikat itu nampaknya enggan membaiki kerentanan yang mungkin mengganggu mekanisme pengumpulan data mereka sendiri.
Ia bukan kerentanan CSRF jika ia adalah tingkah laku yang dimaksudkan. Dalam dunia di mana kuki laman yang sama adalah lalai, anda perlu secara aktif memilih untuk perkara seperti ini.
Keberkesanan serangan bergantung pada pengguna yang mengekalkan sesi Facebook yang aktif, amalan biasa yang sangat tidak digalakkan oleh pakar keselamatan. Menjalankan Facebook dalam bekas pelayar yang terpencil atau profil berasingan boleh mencegah serangan merentas laman web ini, walaupun ramai pengguna mendapati langkah berjaga-jaga sedemikian menyusahkan.
Langkah Keselamatan yang Disyorkan
- Gunakan penyekat JavaScript ( NoScript , uBlock Origin )
- Jalankan Facebook dalam bekas pelayar terpencil
- Layari kandungan dewasa dalam mod incognito
- Lumpuhkan kuki pihak ketiga
- Gunakan profil pelayar berasingan untuk aktiviti yang berbeza
 |
|---|
| Imej ini menggambarkan landskap digital di mana laman web dewasa mengeksploitasi kelemahan untuk taktik manipulatif terhadap pengguna web |
Implikasi Lebih Luas untuk Keselamatan Web
Insiden ini mewakili sebahagian daripada trend yang lebih besar di mana penyerang mengeksploitasi teknologi web yang sah untuk tujuan berniat jahat. Serangan sebelum ini telah menggunakan fail SVG untuk mengeksploitasi perkhidmatan webmail dan mencipta halaman pancingan data yang meyakinkan, menunjukkan kepelbagaian format sebagai vektor serangan.
Situasi ini mencerminkan masalah yang lebih mendalam dengan piawaian web yang mengutamakan fungsi berbanding keselamatan. Apabila laman web menjadi semakin kompleks dan menarik sumber daripada berpuluh-puluh domain yang berbeza, pengguna menghadapi pendedahan yang semakin meningkat kepada serangan canggih yang mengeksploitasi sifat saling berkaitan pelayaran web moden.
Penyelidik keselamatan terus menemui cara baharu fail SVG boleh dijadikan senjata, daripada serangan skrip merentas laman web kepada kempen penafian perkhidmatan. Sehingga pelayar melaksanakan dasar yang lebih ketat untuk kandungan boleh laksana dalam format imej, pengguna mesti bergantung pada alat keselamatan pihak ketiga dan tabiat pelayaran yang berhati-hati untuk melindungi diri mereka daripada ancaman yang berkembang ini.
Rujukan: Adult sites are stashing exploit code inside racy .svg files