Situs web dewasa sedang mengeksploitasi kelemahan desain fundamental dalam format gambar SVG untuk memanipulasi interaksi media sosial tanpa persetujuan pengguna. Peneliti keamanan telah menemukan puluhan situs porno yang menyematkan kode JavaScript berbahaya di dalam file gambar SVG yang tampak tidak berbahaya, mengubahnya menjadi senjata untuk serangan pemalsuan permintaan lintas situs.
Serangan ini bekerja dengan menyembunyikan kode JavaScript yang sangat dikaburkan di dalam file SVG menggunakan teknik yang disebut JSFuck, yang menyamarkan skrip berbahaya sebagai dinding karakter yang tampak acak. Ketika pengguna mengklik gambar-gambar yang telah dijebak ini, kode tersembunyi langsung beraksi, secara otomatis menghasilkan like Facebook untuk postingan promosi situs dewasa tersebut - semua tanpa sepengetahuan pengguna.
Serangan Berbasis SVG Sebelumnya
- 2023: Peretas pro- Russia mengeksploitasi webmail Roundcube melalui cross-site scripting SVG
- Juni 2024: Serangan phishing menggunakan file SVG untuk membuat layar login Microsoft palsu
- Agustus 2024: Situs dewasa ditemukan menggunakan file SVG untuk manipulasi like Facebook
Fleksibilitas Berbahaya Format SVG Menciptakan Mimpi Buruk Keamanan
Tidak seperti format gambar tradisional seperti JPEG atau PNG, file SVG menggunakan teks berbasis XML yang dapat menggabungkan kode HTML dan JavaScript. Fleksibilitas ini awalnya dimaksudkan untuk memungkinkan grafik dan animasi yang kaya, tetapi telah menciptakan kerentanan keamanan yang signifikan yang sulit dibatasi oleh browser dengan baik.
Diskusi komunitas mengungkapkan frustrasi mendalam terhadap filosofi desain SVG. Banyak pengembang berpendapat bahwa apa yang seharusnya menjadi format grafik vektor sederhana telah menjadi platform aplikasi web yang terlalu kuat dengan implikasi keamanan yang serius. Kemampuan format ini untuk mengeksekusi JavaScript membuatnya tidak cocok untuk situs konten buatan pengguna, dengan Wikipedia menjadi salah satu dari sedikit platform yang menerima unggahan SVG - dan bahkan mereka mengonversi sebagian besar SVG menjadi gambar PNG untuk keamanan.
Berbasis XML: Bahasa markup yang menggunakan tag untuk menyusun data, mirip dengan HTMLPemalsuan permintaan lintas situs (CSRF): Serangan yang mengelabui pengguna untuk melakukan tindakan yang tidak diinginkan di situs web tempat mereka terautentikasi
Langkah Keamanan Browser Tidak Memadai
Serangan ini menyoroti kesenjangan signifikan dalam arsitektur keamanan browser modern. Meskipun bertahun-tahun pengembangan difokuskan pada mengisolasi domain satu sama lain, file SVG masih dapat mengeksekusi JavaScript yang berinteraksi dengan situs web lain ketika pengguna masuk ke layanan seperti Facebook.
Browser memang menawarkan beberapa perlindungan dengan memperlakukan file SVG secara berbeda tergantung pada cara penyematannya. Ketika dimuat melalui tag <img>, JavaScript tidak akan dieksekusi, tetapi ketika disematkan melalui tag <iframe> atau <object>, skrip dapat berjalan dengan bebas. Namun, perilaku yang tidak konsisten ini membingungkan baik pengembang maupun sistem keamanan.
Komunitas teknis telah merespons dengan merekomendasikan pemblokiran JavaScript yang agresif melalui ekstensi browser seperti NoScript dan uBlock Origin. Meskipun alat-alat ini memerlukan waktu pengaturan yang signifikan dan dapat merusak fungsi situs web, pengguna berpengalaman melaporkan bahwa mereka secara efektif mencegah serangan semacam itu sambil sering meningkatkan kecepatan pemuatan halaman dengan memblokir skrip pihak ketiga yang tidak perlu.
Metode Penyematan SVG dan Eksekusi JavaScript
- Tag
<img>: JavaScript dinonaktifkan (aman) - Tag
<iframe>: JavaScript diaktifkan (rentan) - Tag
<object>: JavaScript diaktifkan (rentan) - Elemen SVG inline: JavaScript diaktifkan (rentan)
Peran Facebook dalam Memungkinkan Serangan
Keberhasilan serangan ini bergantung pada fungsionalitas tombol like Facebook, yang tampaknya rentan terhadap serangan CSRF ketika pengguna tetap masuk ke akun mereka. Kritikus menunjukkan bahwa Facebook dapat menerapkan perlindungan yang lebih kuat terhadap interaksi otomatis, tetapi perusahaan tampaknya enggan memperbaiki kerentanan yang mungkin mengganggu mekanisme pengumpulan data mereka sendiri.
Ini bukan kerentanan CSRF jika itu adalah perilaku yang dimaksudkan. Dalam dunia di mana cookie same-site adalah default, Anda harus secara aktif memilih hal semacam ini.
Efektivitas serangan bergantung pada pengguna yang mempertahankan sesi Facebook aktif, praktik umum yang sangat tidak disarankan oleh para ahli keamanan. Menjalankan Facebook dalam kontainer browser yang terisolasi atau profil terpisah dapat mencegah serangan lintas situs ini, meskipun banyak pengguna merasa tindakan pencegahan seperti itu tidak nyaman.
Langkah-langkah Keamanan yang Direkomendasikan
- Gunakan pemblokir JavaScript ( NoScript , uBlock Origin )
- Jalankan Facebook dalam kontainer browser yang terisolasi
- Jelajahi konten dewasa dalam mode incognito
- Nonaktifkan cookie pihak ketiga
- Gunakan profil browser terpisah untuk aktivitas yang berbeda
 |
|---|
| Gambar ini menggambarkan lanskap digital di mana situs web dewasa mengeksploitasi kerentanan untuk taktik manipulatif terhadap pengguna web |
Implikasi yang Lebih Luas untuk Keamanan Web
Insiden ini merupakan bagian dari tren yang lebih besar di mana penyerang mengeksploitasi teknologi web yang sah untuk tujuan jahat. Serangan sebelumnya telah menggunakan file SVG untuk mengeksploitasi layanan webmail dan membuat halaman phishing yang meyakinkan, menunjukkan keserbagunaan format ini sebagai vektor serangan.
Situasi ini mencerminkan masalah yang lebih dalam dengan standar web yang memprioritaskan fungsionalitas daripada keamanan. Karena situs web menjadi semakin kompleks dan mengambil sumber daya dari puluhan domain yang berbeda, pengguna menghadapi paparan yang semakin besar terhadap serangan canggih yang mengeksploitasi sifat saling terhubung dari penjelajahan web modern.
Peneliti keamanan terus menemukan cara-cara baru bagaimana file SVG dapat dijadikan senjata, dari serangan skrip lintas situs hingga kampanye penolakan layanan. Sampai browser menerapkan kebijakan yang lebih ketat untuk konten yang dapat dieksekusi dalam format gambar, pengguna harus mengandalkan alat keamanan pihak ketiga dan kebiasaan browsing yang hati-hati untuk melindungi diri dari ancaman yang terus berkembang ini.
Referensi: Adult sites are stashing exploit code inside racy .svg files