كن يقظاً، OpenID وOAuth ثغرات أمنية!

بعد مرور أسابيع على انتشار ثغرة نزيف القلب الأمنية، تظهر مشكلة جديدة يواجهها المستخدم العادي من أمثالي وأمثالك، لا تقل خطراً، ويبدو بأن حلها صعب حتى الآن. ويمكن القول بأنها التعريف الفعلي لمشكلة “إعادة توجيه السرية”، والتي تم كشفها من قبل وانغ جينغ، وهو طالب دكتوراة في الرياضيات في جامعة نانيانغ التقنية في سنغافورة. وتم العثور على هذه المشاكل في بروتوكولات انترنت معروفة مثل OpenID وOAuth، والذي يتم استغلاله لدى دخولك موقع باستخدام بيانات دخولك الموجودة مثل جوجل أو فيسبوك أو لينكد إن٬ الخ، كما يظهر لدى دخولك مواقع وتطبيقات وخدمات ببيانات فيسبوك، جوجل بلس، الخ، دون الكشف فعلياً عن كلمة المرور والبيانات الخاصة بك إلى مواقع من جهة ثالثة. وتعمل هاتان الوسيلتان بالتزامن، وتؤديان إلى وضع معلوماتك في الأيدي الخاطئة.

التهديد

يملك أصدقاؤنا في ثريت بوست توضيحاً تقنياً مفصلاً أكثر للأمر، إضافة إلى رابط للبحث الأصلي، إلا أننا سنتجاوز عن المعلومات غير الضرورية، ونوضح لكم سيناريوهات الهجمات المحتملة وأبعادها. بداية، يزور المستخدم موقع تصيد مصاب بالبرامج الخبيثة، والذي يتضمن الكبسات التقليدية ل”ادخل ببياناتك على فيسبوك”، وقد يكون موقع التصيد هذا مشابهاً لأحد الخدمات المعروفة، أو تميز نفسها كخدمة مختلفة. ولدى نقرك على الكبسة، تظهر شاشة فيسبوك، جوجل بلس حقيقية وتطلب منك إدخال بيانات الدخول وكلمة المرور لتفعيل الخدمة، وتمكينها من دخول ملف المستخدم، ثم يتم إرسال ترخيص استخدام الملف إلى موقع (التصيد) الخاطئ بإعادة توجيه غير دقيقة.

وفي نهاية اليوم، يتلقى المجرم الإلكتروني ترخيصاً للدخول إلى ملف الضحية مع كافة البنود المصرحة له في التطبيق، وفي أفضل الحالات يكون مجرد دخول لبيانات المستخدم الرئيسية، وفي أسوأ الحالات يملك القدرة للوصول إلى قائمة المتصلين وإرسال الرسائل، الخ.

هل تمت معالجة المشكلة؟ ليس حتى الآن

على الأغلب فلن تختفي هذه المشكلة قريباً، إذ يجب أن تتم معالجة المشكلة في كل من جهة المزود (فيسبوك، لينكد أن، جوجل، الخ) وجهة العميل (خدمة أو تطبيق من جهة ثالثة). لا يزال OAuth بنسخة بيتا، ويستخدم المزودون المتنوعون تطبيقات مختلفة، تتباين حسب قدرتها لمواجهة سيناريوهات الهجوم. وكان لينكد إن أفضل الخدمات في هذه السيناريوهات، وإعادة توجيه البيانات بالشكل الصحيح. إنما تختلف الأمور في فيسبوك، والذي يملك شبكة ثالثة أكبر من التطبيقات وتطبيقات أقدم، لذا فإن ممثلو فيسبوك يقولون بإن الإصلاح أمر غير ممكن في الفترة القريبة القادمة.

وهناك عدد كبير أيضاً من المزودين الذين تعرضوا لهذه الثغرة (انظر إلى الصورة)، فإذا دخلت إلى أحد المواقع التي تتضمن هذه الخدمات، فعليك التصرف.

خطة التصرف

الحل الأمثل هو التخلي عن الخدمات التي تستخدم OpenID أو الكبسات التي تتضمن خيار “ادخل ب” لبضع أشهر. كما يمكنك الاستفادة من زيادة الخصوصية، إذ أن استخدام نماذج الدخول هذه من الشبكات الاجتماعية يتيح تعقب أفعالك الالكترونية ويتيح لعدد أكبر من المواقع الدخول إلى بياناتك الجغرافية. ولتفادي مشكلة تذكر عشرات وحتى مئات بيانات الدخول للمواقع المختلفة، يمكنك البدء باستخدام خدمة Password Manager، ومعظم الخدمات هذه الأيام مزودة بواجهات متعددة العملاء متزامنة مع كلاود للدخول إلى كلمات المرور في كل جهاز تملكه.

أما إذا كنت تنوي الاستمرار باستخدام OpenID، فلا يوجد خطر فوري لهذا الأمر، إنما عليك أن تكون متيقظاً وحذراً لتجنب أي حيل تصيد، والتي تبدأ عادة برسائل مزعجة تصل إلى صندوق بريدك أو روابط على فيسبوك أو غيرها من الشبكات الاجتماعية. إذا دخلت إلى أي خدمة باستخدام بيانات فيسبوك أو جوجل، فاحرص على فتح موقع الخدمة بإدخال العنوان يدوياً، وليس من الرابط الذي يصلك على الرسائل. أعد تفقد شريط العنوان لتجنب زيارة مواقع مخادعة، ولا تشترك بأي خدمات جديدة باستخدام  OpenID، إلا إذا كنت متأكداً بنسبة ١٠٠٪ من الخدمة، وبتحويلك إلى الصفحة المناسبة والصحيحة. كما يتوجب عليك استخدام حلول أمنية لضمان التصفح الآمن مثل Kaspersky Internet Security Multi Device، والتي تمنع موقعك من زيارة المواقع الخطرة، بما يتضمن مواقع التصيد.

وبالعادة فإن هذه خطوات تحذيرية معتادة، والتي يتوجب على كل مستخدم انترنت اتباعها بشكل يومي، لا سيما بعد انتشار تهديدات مواقع التصيد، والتي تتسبب بمختلف الخسارات الرقمية، بما يتضمن أرقام البطاقات الائتمانية، وبيانات الدخول إلى الرسائل الالكترونية وغيرها.