उपयोगकर्ता को ठगकर चेतावनियाँ बाइपास करने वाला आधुनिक SVG क्लिकजैकिंग हमला

 (lyra.horse)
2 पॉइंट द्वारा GN⁺ 2025-12-07 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • SVG फ़िल्टर का इस्तेमाल करके एक नया क्लिकजैकिंग तरीका पेश किया गया है, जो पुराने सरल क्लिक-उकसाने वाले हमले को जटिल इंटरैक्टिव अटैक में बदल देता है
  • feColorMatrix, feDisplacementMap जैसे SVG फ़िल्टर एलिमेंट cross-origin iframe पर भी लागू हो सकते हैं, जिससे विज़ुअल मैनिपुलेशन और डेटा के बाहर निकास (data exfiltration) को संभव बनाया जा सकता है
  • फ़िल्टर संयोजन से पिक्सेल रीडिंग, लॉजिक ऑपरेशन और कंडीशनल UI मैनिपुलेशन संभव हो जाता है, जिससे मल्टी-स्टेप क्लिकजैकिंग या क्लिक-प्रेरित इनपुट अटैक लागू किए जा सकते हैं
  • वास्तविक उदाहरण में Google Docs vulnerability का इस्तेमाल करके हमला सफल हुआ, और शोधकर्ता को Google VRP से $3133.70 की बाउंटी मिली
  • यह तकनीक ब्राउज़र सिक्योरिटी मॉडल के एक नए अटैक सरफेस को उजागर करती है और दिखाती है कि SVG फ़िल्टर का लॉजिक-आधारित उपयोग कैसे सुरक्षा खतरे में बदल सकता है

SVG क्लिकजैकिंग का अवलोकन

  • पारंपरिक क्लिकजैकिंग में iframe पर ओवरले डालकर यूज़र को अनजाने में क्लिक करने के लिए प्रेरित किया जाता है
  • नया प्रस्तुत SVG क्लिकजैकिंग SVG फ़िल्टर का उपयोग करके जटिल इंटरैक्शन और डेटा लीक को संभव बनाता है
  • feColorMatrix और feDisplacementMap जैसे फिल्टर cross-origin दस्तावेज़ों पर भी लागू किए जा सकते हैं, जिससे बाहरी कंटेंट को विज़ुअली बदलना संभव होता है

SVG फ़िल्टर के घटक

  • मुख्य फिल्टर तत्व हैं: <feImage>, <feFlood>, <feOffset>, <feDisplacementMap>, <feGaussianBlur>, <feTile>, <feMorphology>, <feBlend>, <feComposite> और <feColorMatrix>
  • ये इनपुट इमेज को मिलाकर/बदलकर नया इमेज बनाते हैं, और चेन के रूप में लिंक किए जा सकते हैं
  • इन संयोजनों के माध्यम से attacker को विज़ुअल इफेक्ट, मास्किंग, रंग मैनिपुलेशन जैसी चीज़ें स्वतंत्र रूप से लागू करना संभव हो जाता है

हमला उदाहरण

  • फेक कैप्चा (fake captcha): feDisplacementMap के जरिए टेक्स्ट को विकृत करके यूज़र से संवेदनशील कोड डालवाया जाता है
  • ग्रे टेक्स्ट हाइडिंग (grey text hiding): feComposite और feMorphology से इनपुट फ़ील्ड की गाइड लाइन या एरर मैसेज हटाकर यूज़र को attacker द्वारा चुना गया पासवर्ड डालने के लिए प्रेरित किया जाता है
  • पिक्सेल रीडिंग (pixel reading): किसी खास पिक्सेल का रंग देखकर फ़िल्टर व्यवहार नियंत्रित किया जाता है, जिससे बटन क्लिक, होवर, इनपुट स्टेट डिटेक्शन जैसे डायनेमिक प्रतिक्रियाशील अटैक बनाए जा सकते हैं

लॉजिक ऑपरेशन और कंपोज़िट अटैक

  • feBlend और feComposite को जोड़कर AND, OR, XOR, NOT जैसे लॉजिक गेट बनाए जा सकते हैं
  • इससे SVG फ़िल्टर के अंदर पूर्ण लॉजिक सर्किट बनाया जा सकता है और मल्टी-स्टेप क्लिकजैकिंग सीनारियो को ऑटोमेट किया जा सकता है
  • उदाहरण के तौर पर ‘Securify’ app attack में डायलॉग बॉक्स खुलना, चेकबॉक्स क्लिक, बटन क्लिक आदि चरणों को लॉजिक के जरिए नियंत्रित करके यूज़र को भ्रमित करने वाली संरचना बनाई गई

वास्तविक केस: Google Docs की कमजोरी

  • Google Docs में “Generate Document” क्लिक करने के बाद आने वाले पॉप-अप और इनपुट फील्ड को SVG फ़िल्टर आधारित लॉजिक से detect और manipulate किया गया
  • इनपुट फील्ड की focus state, ग्रे टेक्स्ट और लोडिंग स्क्रीन को real-time में देखकर अटैक फ्लो को कंट्रोल किया गया
  • इस अटैक की रिपोर्ट Google को की गई और $3133.70 का बग बाउंटी जारी हुआ

QR कोड अनुप्रयोग

  • SVG फ़िल्टर के अंदर QR code generation logic को implement करके पिक्सेल डेटा को URL के रूप में encode किया जा सकता है और QR के रूप में दिखाया जा सकता है
  • जब यूज़र QR स्कैन करता है, डेटा attacker के कंट्रोल वाले server पर भेजा जाता है
  • feDisplacementMap और Reed–Solomon error correction का उपयोग करके स्कैन-योग्य QR कोड बनाया गया

अतिरिक्त उपयोग संभावनाएँ

  • टेक्स्ट रीडिंग, क्लिक-आधारित डेटा एक्सट्रैक्शन, फेक माउस करसर इंसर्शन आदि कई अन्य अटैक उपयोग संभव हैं
  • JavaScript के बिना सिर्फ CSS/SVG से अटैक बनाना संभव है, इसलिए CSP को bypass करने की संभावना मौजूद रहती है

शोध का महत्व

  • SVG फ़िल्टर से संचालित लॉजिक-आधारित क्लिकजैकिंग पहले के शोध में कवर न की गई एक नई अटैक तकनीक है
  • पुराने शोध मुख्यतः SVG को सिर्फ विज़ुअल मास्किंग के रूप में देखते थे, जबकि इस शोध ने लॉजिक execution और इंटरैक्शन control का प्रदर्शन किया
  • शोधकर्ता इसे नया vulnerability class बताते हुए ब्राउज़र सिक्योरिटी आर्किटेक्चर के पुनर्मूल्यांकन की जरूरत पर जोर देते हैं

समापन

  • इस शोध को SVG फ़िल्टर को programming language की तरह इस्तेमाल करने का पहला सुरक्षा अटैक उदाहरण माना जा रहा है
  • लेखक के अनुसार 2025 के अंत में 39c3 और Disobey 2026 में संबंधित प्रेज़ेंटेशन की योजना है
  • पोस्ट सिर्फ 42kB की HTML/CSS/SVG में, बिना इमेज और JS के, तैयार किया गया है—यह प्रयोगात्मक सुरक्षा शोध की क्रिएटिविटी दिखाता है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.