اختراق إضافة جوجل Password Alert الأمنية الجديدة

0
hacked-google-gmailpassword
أطلقت شركة جوجل قبل أيام إضافة أمنية جديدة مخصصة لمتصفح جوجل كروم تحمل اسم “Password Alert” وتتلخص مهمتها الأساسية في تحذير المستخدمين عند إدخال كلمات المرور الخاصة بحساباتهم على جوجل ضمن صفحات احتيال وتصيّد، إلا أن تلك الإضافة الأمنية تعرضت للاختراق.
وتقوم الإضافة بإظهار تنبيه للمستخدم في حال قيامه بإدخال كلمة المرور الخاصة به ضمن أي صفحة تصيّد قد يظن أنها تابعة لشركة جوجل، وبالتالي إتاحة إمكانية تحديث كلمة المرور الخاصة بالمستخدم لحماية حسابه، لكن بعد نحو 24 ساعة فقط من إطلاقها، أوجد أحد الباحثين الأمنيين طريقتين لتجاوزها.
وأوضح الباحث الأمني البريطاني “بول مور” Paul Moore أن الطريقة الأولى تعتمد على كود الجافا سكريبت الذي يظهر في صفحة التصيّد من أجل تحذير المستخدم، وقال أن تجاوز الحاجز الأمني تطلب سبعة أسطر فقط من التعليمات البرمجية تؤدى إلى عدم ظهور أي تنبيه للمستخدمين عند إدخال كلمة مرور حساباتهم في موقع غير تابع إلى جوجل.
وأضاف مور أن الإضافة تعمل على تسجيل كل حرف يقوم المستخدم بإدخاله ومقارنته مع آخر كلمة مرور مخزنة وعند تطابقهما ترسل الإضافة تنبيهاً إلى المستخدم لتغيير كلمة المرور الخاصة به.
وردت جوجل بسرعة على هذه المشكلة من خلال تحديث الإضافة لإصلاح الثغرة الأمنية، لكن وبعد يوم واحد فقط من علاجها للثغرة عاد مور بطريقة أخرى للتحايل على النظام الأمني الخاص بالإضافة.
وقضى مور المزيد من الوقت في محاولة لايجاد طريقة اخرى للالتفاف على الحاجز الذي تضعه الإضافة، واكتشف طريقة يتم استغلالها عن طريق عمل تحديث للصفحة بعد كل حرف يدخله المستخدم من كلمة السر الخاصة به، وهي الخدعة التي تنطلي على نظام الإنذار الخاص بالإضافة مما يتيح للمواقع الخبيثة استخدامها ضدها.
يذكر أن إضافة جوجل الأمنية متاحة عبر متجر إضافات كروم تحت اسم Password Alert، بحجم 407 كيلو بايت، وبدعم للغة العربية.