تتيح للمخترق سيطرة كاملة على حسابات المستخدمين لدى جوجل

ثغرة أمنية تسهل اختراق حسابات جوجل.. رغم تغيير كلمات المرور

علامة جوجل التجارية - AFP
علامة جوجل التجارية - AFP
القاهرة-محمد عادل

كشف تقرير جديد عن انتشار أسلوب اختراق فريد من نوعه تتبعه بضع برمجيات خبيثة تستهدف سرقة البيانات من الحواسيب الشخصية، حيث يسمح بالاستيلاء على حسابات جوجل الشخصية، حتى وإن تم تغيير كلمات مرورها.

بحسب ما نشره موقع Bleeping Computer، يقوم أسلوب الاختراق الجديد على استغلال ميزة في نظام جوجل لتأكيد الهوية Google OAuth، تُسمى بـMultiLogin، وهي تسمح بمزامنة الحسابات المُسجل دخولها على متن خدمات جوجل المختلفة على جهاز المستخدم، وذلك من خلال قبول بيانات تعريف حسابات المستخدم وكذلك مفاتيح تعريف الهوية عند تسجيل الدخول auth-login tokens.

الميزة، التي تم اكتشاف آلية عملها وأهميتها في أكتوبر، تعمل على واجهة برمجية تُسمى Gaia Auth API تابعة لجوجل، كي تتأكد خدمات جوجل من تناسق الحسابات المُسجل الدخول بها من خلالها مع الحسابات المسجلة على متصفح الويب جوجل كروم.

خطورة الهجوم

وأوضح باحثون بشركة "كلاود سيك" الأمنية أن الهجوم الجديد يعتمد على ثغرة صفرية zero-day، اكتشفها فريق مخترقين يُدعى PRISMA في أكتوبر، وكان قد نشر عبر قناته على تليجرام حول الثغرة وطريقة استغلاله لها لشرقة حسابات جوجل.

وذكر تقرير "كلاود سيك" أن البيانات التي تستهدف سرقتها البرمجيات الخبيثة تتمثل في جزءين من المعلومات، الأول هو بيانات تعريفية GAIA ID، والجزء الثاني هو مفتاح مُشفر Encrypted_Token.

لقطة من الهجوم السيبراني الجديد الذي يستغل ثغرة أمنية في ميزة Google OAuth داخل متصفحات كروم
لقطة من الهجوم السيبراني الجديد الذي يستغل ثغرة أمنية في ميزة Google OAuth داخل متصفحات كروم

ويتم فك تشفير المفتاح المُشفر من خلال أداة برمجية مخزنة في ملف ضمن ملفات النظام في متصفح جوجل كروم، يحمل اسم Local State، وهي أداة تُستخدم في فك تشفير كلمات المرور المخزنة في المتصفح.

وأشار باحثو "كلاود سيك" إلى أن المخترق، بعد الاستيلاء على تلك البيانات، يُصبح بإمكانه إعادة إنشاء ملفات الارتباط "كوكيز" الخاصة بخدمات جوجل، مما يتيح له وصولاً كاملاً إلى حسابات المُستخدم.

وفي حالة تغيير المستخدم كلمة المرور، سيتمكن المخترق عبر الأسلوب الجديد من إعادة إنشاء ملفات الارتباط مرة واحدة فقط، بينما في حال عدم تغيير كلمة المرور، يمكنه إعادة إنشاء ملفات الارتباط أكثر من مرة إلى ما لا نهاية، مما يضمن سيطرته على حساب المستخدم، حتى وإن سجّل خروجه من جميع أجهزته، وسجل الدخول من جهاز جديد كلياً.

تنبيهات دون رد

وذكر "بلييبينج كمبيوتر" أنه رصد، في نوفمبر، برمجيتين لسرقة البيانات تستخدمان الثغرة، وهما Lumma وRhadamanthys، وبادر إلى إبلاغ جوجل مرات عديدة طوال شهر كامل، لكن دون رد.

وأشار التقرير إلى أن هناك، حتى الآن، 6 برمجيات خبيثة تستخدم أسلوب الهجوم الجديد بدأت في الانتشار خلال نوفمبر وديسمبر 2023، منها 4 برمجيات بدأت هجماتها بالفعل خلال شهر واحد.

وحتى الآن، لم تخرج جوجل بأية تعليقات رسمية على وجود الثغرة أو استغلالها في هجمات تهدد خصوصية المستخدمين، وتنتهك سلامتهم الرقمية.

تصنيفات

قصص قد تهمك