تفاصيل الأخطاء البرمجية المكتشَفة في استعادة حساب جوجل

تم الكشف عن تفاصيل مجموعةٍ حديثةٍ من إصلاحات جوجل، تضمنت إصلاح ثغرة استعادة حساب البريد الإلكتروني من جوجل Gmail. يشير الباحث أورين حفيفي، إلى أن تجاوز كلمة المرور في جوجل

تم الكشف عن تفاصيل مجموعةٍ حديثةٍ من إصلاحات جوجل، تضمنت إصلاح ثغرة استعادة حساب البريد الإلكتروني من جوجل Gmail.

يشير الباحث أورين حفيفي، إلى أن تجاوز كلمة المرور في جوجل يفتح الباب لما هو أكثر بكثيرٍ من البريد الإلكتروني، ويرفع مقدار الخطورة.

كتب حفيفي على مدونته: “هل توقفْت يومًا وسألت: ماذا تعني GMAIL؟ إنها التوثيق العالمي الرئيسي، ومكتبة تحديد الهوية. جديًّا، إذا استطاع أحد الأشخاص الدخول إلى حسابGmail  الخاص بك، يمكنه أن يقوم بعمل “استعادة لكلمة المرور” لأي تطبيق ويب آخر، أو تطبيق على الأجهزة الجوالة الموجودة”.

جمع حفيفي بين البرمجة النصية عبر المواقع، وتزوير الطلبات عبر المواقع، والالتفاف حول كلمة المرور ليتمكن المهاجم من القيام بهذا الاختراق.

يبدأ الهجوم بالبريد الإلكتروني المُنتَحِل لجوجل من أجل التصيُّد الاحتيالي، والذي يتم إرساله إلى أحد مستخدمي Gmail. يشرح حفيفي التفاصيل المروعة في مدونته حول أسباب نجاح هجومه، ولكن يجب أن يكون البريد الإلكتروني للتصيُّد الاحتيالي مخصصًا لعنوان البريد الإلكتروني للضحية في المسار.

ومع ذلك، ينبغي أن يعود الرابط إلى موقع المهاجم؛ حيث يقدم طلب تزوير عبر المواقع. بعد ذلك، يتم إطلاق هجوم البرمجة النصية عبر المواقع، ويتم تقديم خيار زائف لإعادة تعيين كلمة المرور للمستخدم.

كتب حفيفي: “يضغط المستخدم” إعادة تعيين كلمة المرور” ومن هنا، تتفاقم الأمور إلى أقصى حد.

بمجرد أن يحاول المستخدم إعادة تعيين كلمة المرور لاستعادة حسابه، يكون المهاجم في الخلفية يتلقى كلمة المرور الجديدة، ومعلومات ملفات تعريف الارتباط (الكوكيز).

ذكر حفيفي: أن جوجل قامت بإصلاح الثغرة خلال 10 أيام، وهو لا يزال يتابع للحصول على مكافأةٍ لاكتشافه الخطأ البرمجي، وأيضًا الحصول على التكريم من جوجل ليكون من ضمن المشاهير.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!