Saldırganlar, e-ticaret sitelerinden kullanıcılara ait kritik bilgileri çalmak için Google Analytics servisini kullanıyorlar. PerimeterX, Kaspersky ve Sansec şirketleri yaptıkları açıklamada, saldırganların Google Analytics tarafından oluşturulan izleme koduyla birlikte web sitelerine zararlı kod yerleştirerek, kullanıcılara ait kredi kartı gibi kritik bilgileri ele geçirebildiklerini belirttiler.
Saldırganlar websitelerine kod enjekte etmek için CSP (Content Security Policy) Bypass tekniğinden yararlanıyorlar. CSP, kod enjeksiyonu saldırılarından kaynaklanan tehditlerin algılanmasına ve azaltılmasına yardımcı olan bir güvenlik önlemidir. Ancak saldırganlar Google’ın web analizi servisini kullanan e-ticaret sitelerinin CSP konfigürasyonlarında, Google Analytics alan adlarının beyaz listeye alınmasından yararlanarak CSP önlemini atlatabiliyorlar.
Yapılan açıklamada kullanıcılara ait kredi kartı bilgileri gibi kritik verileri ele geçirmek için, hedef siteye zararlı bir JavaScript kodu enjekte etmek gerektiği belirtildi. Böylece Google Analytics’in bir sitede gerçekleştirilen işlemleri tanımlamak için kullandığı parametreler aracılığıyla veriler sızdırılabiliyor. Ayrıca saldırganlar, saldırıları daha gizli hale getirebilmek için, kullanıcıların tarayıcılarında ağ isteklerini ve güvenlik hatalarını tespit eden geliştirici modunun etkin olup olmadığını tespit edip, geliştirici modunun etkin olmaması durumunda saldırılarına devam edebiliyorlar. Kullanıcıların saldırılardan etkilenmemesi için kesin bir çözüm sunulmadı. Ancak saldırılardan etkilenmemek için, e-ticaret sitelerinin CSP konfigürasyonları düzenlenebilir ve kullanıcılar e-ticaret sitelerini ziyaret ettikleri sırada, tarayıcıların geliştirici modunu aktif edebilirler.